Microsoft.SecurityInsights otomasyonuRules 2023-04-01-preview

• en son
• 2025-03-01
• 2025-01-01-preview
• 2024-10-01-preview
• 2024-09-01
• 2024-04-01-preview
• 2024-03-01
• 2024-01-01-preview
• 2023-12-01-preview
• 2023-11-01
• 2023-10-01-preview
• 2023-09-01-preview
• 2023-08-01-preview
• 2023-07-01-preview
• 2023-06-01-preview
• 2023-05-01-preview
• 2023-04-01-preview
• 2023-03-01-preview
• 2023-02-01
• 2023-02-01-preview
• 2022-12-01-preview
• 2022-11-01
• 2022-11-01-preview
• 2022-10-01-preview
• 2022-09-01-preview
• 2022-08-01
• 2022-08-01-preview
• 2022-07-01-preview
• 2022-06-01-preview
• 2022-05-01-preview
• 2022-04-01-preview
• 2022-01-01-preview
• 2021-10-01
• 2021-10-01-preview
• 2021-09-01-preview
• 2019-01-01-preview

Bicep kaynak tanımı

automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-04-01-preview' = {
  scope: resourceSymbolicName or scope
  etag: 'string'
  name: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

AutomationRuleCondition nesneleri

nesne türünü belirtmek için conditionType özelliğini ayarlayın.

booleiçin şunu kullanın:

{
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }
  conditionType: 'Boolean'
}

Özellikiçin şunu kullanın:

{
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'Property'
}

PropertyArrayiçin şunu kullanın:

{
  conditionProperties: {
    arrayConditionType: 'string'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType: 'PropertyArray'
}

PropertyArrayChangediçin şunu kullanın:

{
  conditionProperties: {
    arrayType: 'string'
    changeType: 'string'
  }
  conditionType: 'PropertyArrayChanged'
}

PropertyChangediçin şunu kullanın:

{
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }
  conditionType: 'PropertyChanged'
}

AutomationRuleAction nesneleri

nesne türünü belirtmek için actionType özelliğini ayarlayın.

AddIncidentTaskiçin şunu kullanın:

{
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }
  actionType: 'AddIncidentTask'
}

ModifyPropertiesiçin şunu kullanın:

{
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }
  actionType: 'ModifyProperties'
}

RunPlaybookiçin şunu kullanın:

{
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }
  actionType: 'RunPlaybook'
}

Özellik Değerleri

AddIncidentTaskActionProperties

Ad	Açıklama	Değer
Açıklama	Görevin açıklaması.	dizgi
başlık	Görevin başlığı.	dize (gerekli)

AutomationRuleAction

Ad	Açıklama	Değer
actionType	AutomationRuleAddIncidentTaskActiontürü için 'AddIncidentTask' olarak ayarlayın. AutomationRuleModifyPropertiesActiontürü için 'ModifyProperties' olarak ayarlayın. AutomationRuleRunPlaybookActiontürü için 'RunPlaybook' olarak ayarlayın.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (gerekli)
sipariş		int (gerekli)

AutomationRuleAddIncidentTaskAction

Ad	Açıklama	Değer
actionConfiguration		AddIncidentTaskActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'AddIncidentTask' (gerekli)

AutomationRuleBooleanCondition

Ad	Açıklama	Değer
innerConditions		AutomationRuleCondition[]
operatör		'Ve' 'Veya'

AutomationRuleCondition

Ad	Açıklama	Değer
conditionType	BooleanConditionPropertiestürü için 'Boolean' olarak ayarlayın. PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayConditionPropertiestürü için 'PropertyArray' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü için 'PropertyArrayChanged' olarak ayarlayın. PropertyChangedConditionPropertiestürü için 'PropertyChanged' olarak ayarlayın.	'Boole' 'Özellik' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (gerekli)

AutomationRuleModifyPropertiesAction

Ad	Açıklama	Değer
actionConfiguration		IncidentPropertiesAction
actionType	Otomasyon kuralı eyleminin türü.	'ModifyProperties' (gerekli)

AutomationRuleProperties

Ad	Açıklama	Değer
eylemler	Otomasyon kuralı tetiklendiğinde yürütülecek eylemler.	AutomationRuleAction[] (gerekli)
displayName	Otomasyon kuralının görünen adı.	dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli)
sipariş	Otomasyon kuralının yürütme sırası.	Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli)
triggeringLogic	Otomasyon kuralı tetikleme mantığını açıklar.	AutomationRuleTriggeringLogic (gerekli)

AutomationRulePropertyArrayChangedValuesCondition

Ad	Açıklama	Değer
arrayType		'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler'
changeType		'Eklendi'

AutomationRulePropertyArrayValuesCondition

Ad	Açıklama	Değer
arrayConditionType		'AnyItem'
arrayType		'CustomDetails' 'CustomDetailValues'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Ad	Açıklama	Değer
changeType		'ChangedFrom' 'ChangedTo'
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName		'IncidentOwner' 'IncidentSeverity' 'IncidentStatus'
propertyValues		string[]

AutomationRulePropertyValuesCondition

Ad	Açıklama	Değer
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName	Otomasyon kuralı özellik koşulunda değerlendirilecek özellik.	'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'DosyaAdı' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url'
propertyValues		string[]

AutomationRuleRunPlaybookAction

Ad	Açıklama	Değer
actionConfiguration		playbookActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'RunPlaybook' (gerekli)

AutomationRuleTriggeringLogic

Ad	Açıklama	Değer
Koşul -ları	Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar.	AutomationRuleCondition[]
expirationTimeUtc	Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler.	dizgi
isEnabled	Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler.	bool (gerekli)
triggersOn		'Uyarılar' 'Olaylar' (gerekli)
tetikleyicilerWhen		'Oluşturuldu' 'Güncelleştirildi' (gerekli)

BooleanConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRuleBooleanCondition
conditionType		'Boole' (gerekli)

IncidentLabel

Ad	Açıklama	Değer
labelName	Etiketin adı	dize (gerekli)

IncidentOwnerInfo

Ad	Açıklama	Değer
assignedTo	Olayın atandığı kullanıcının adı.	dizgi
E-posta	Olayın atandığı kullanıcının e-postası.	dizgi
objectId	Olayın atandığı kullanıcının nesne kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Olayın atandığı sahibin türü.	'Grup' 'Bilinmiyor' 'Kullanıcı'
userPrincipalName	Olayın atandığı kullanıcının kullanıcı asıl adı.	dizgi

IncidentPropertiesAction

Ad	Açıklama	Değer
sınıflandırma	Olayın kapanma nedeni	'BenignPositive' 'FalsePositive' 'TruePositive' 'Belirsiz'
classificationComment	Olayın kapanma nedenini açıklar.	dizgi
classificationReason	Olayın kapatıldığı sınıflandırma nedeni	'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected'
Etiket	Olaya eklenecek etiketlerin listesi.	IncidentLabel[]
sahip	Bir olayın atandığı kullanıcıyla ilgili bilgiler	IncidentOwnerInfo
şiddet	Olayın önem derecesi	'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta'
durum	Olayın durumu	'Etkin' 'Kapalı' 'Yeni'

Microsoft.SecurityInsights/automationRules

Ad	Açıklama	Değer
etag	Azure kaynağının etag'i	dizgi
ad	Kaynak adı	dize (gerekli)
Özellikler	Otomasyon kuralı özellikleri	AutomationRuleProperties (gerekli)
kapsam	Dağıtım kapsamından farklı bir kapsamda kaynak oluştururken kullanın.	uzantısı kaynağınıuygulamak için bu özelliği kaynağın sembolik adı olarak ayarlayın.

PlaybookActionProperties

Ad	Açıklama	Değer
logicAppResourceId	Playbook kaynağının kaynak kimliği.	dize (gerekli)
tenantId	Playbook kaynağının kiracı kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (gerekli)

PropertyArrayConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (gerekli)

PropertyChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (gerekli)

PropertyConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesCondition
conditionType		'Özellik' (gerekli)

ARM şablonu kaynak tanımı

automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2023-04-01-preview",
  "name": "string",
  "etag": "string",
  "properties": {
    "actions": [ {
      "order": "int",
      "actionType": "string"
      // For remaining properties, see AutomationRuleAction objects
    } ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [ {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      } ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

AutomationRuleCondition nesneleri

nesne türünü belirtmek için conditionType özelliğini ayarlayın.

booleiçin şunu kullanın:

{
  "conditionProperties": {
    "innerConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ],
    "operator": "string"
  },
  "conditionType": "Boolean"
}

Özellikiçin şunu kullanın:

{
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "Property"
}

PropertyArrayiçin şunu kullanın:

{
  "conditionProperties": {
    "arrayConditionType": "string",
    "arrayType": "string",
    "itemConditions": [ {
      "conditionType": "string"
      // For remaining properties, see AutomationRuleCondition objects
    } ]
  },
  "conditionType": "PropertyArray"
}

PropertyArrayChangediçin şunu kullanın:

{
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "string"
  },
  "conditionType": "PropertyArrayChanged"
}

PropertyChangediçin şunu kullanın:

{
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  },
  "conditionType": "PropertyChanged"
}

AutomationRuleAction nesneleri

nesne türünü belirtmek için actionType özelliğini ayarlayın.

AddIncidentTaskiçin şunu kullanın:

{
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  },
  "actionType": "AddIncidentTask"
}

ModifyPropertiesiçin şunu kullanın:

{
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  },
  "actionType": "ModifyProperties"
}

RunPlaybookiçin şunu kullanın:

{
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  },
  "actionType": "RunPlaybook"
}

Özellik Değerleri

AddIncidentTaskActionProperties

Ad	Açıklama	Değer
Açıklama	Görevin açıklaması.	dizgi
başlık	Görevin başlığı.	dize (gerekli)

AutomationRuleAction

Ad	Açıklama	Değer
actionType	AutomationRuleAddIncidentTaskActiontürü için 'AddIncidentTask' olarak ayarlayın. AutomationRuleModifyPropertiesActiontürü için 'ModifyProperties' olarak ayarlayın. AutomationRuleRunPlaybookActiontürü için 'RunPlaybook' olarak ayarlayın.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (gerekli)
sipariş		int (gerekli)

AutomationRuleAddIncidentTaskAction

Ad	Açıklama	Değer
actionConfiguration		AddIncidentTaskActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'AddIncidentTask' (gerekli)

AutomationRuleBooleanCondition

Ad	Açıklama	Değer
innerConditions		AutomationRuleCondition[]
operatör		'Ve' 'Veya'

AutomationRuleCondition

Ad	Açıklama	Değer
conditionType	BooleanConditionPropertiestürü için 'Boolean' olarak ayarlayın. PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayConditionPropertiestürü için 'PropertyArray' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü için 'PropertyArrayChanged' olarak ayarlayın. PropertyChangedConditionPropertiestürü için 'PropertyChanged' olarak ayarlayın.	'Boole' 'Özellik' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (gerekli)

AutomationRuleModifyPropertiesAction

Ad	Açıklama	Değer
actionConfiguration		IncidentPropertiesAction
actionType	Otomasyon kuralı eyleminin türü.	'ModifyProperties' (gerekli)

AutomationRuleProperties

Ad	Açıklama	Değer
eylemler	Otomasyon kuralı tetiklendiğinde yürütülecek eylemler.	AutomationRuleAction[] (gerekli)
displayName	Otomasyon kuralının görünen adı.	dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli)
sipariş	Otomasyon kuralının yürütme sırası.	Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli)
triggeringLogic	Otomasyon kuralı tetikleme mantığını açıklar.	AutomationRuleTriggeringLogic (gerekli)

AutomationRulePropertyArrayChangedValuesCondition

Ad	Açıklama	Değer
arrayType		'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler'
changeType		'Eklendi'

AutomationRulePropertyArrayValuesCondition

Ad	Açıklama	Değer
arrayConditionType		'AnyItem'
arrayType		'CustomDetails' 'CustomDetailValues'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Ad	Açıklama	Değer
changeType		'ChangedFrom' 'ChangedTo'
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName		'IncidentOwner' 'IncidentSeverity' 'IncidentStatus'
propertyValues		string[]

AutomationRulePropertyValuesCondition

Ad	Açıklama	Değer
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName	Otomasyon kuralı özellik koşulunda değerlendirilecek özellik.	'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'DosyaAdı' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url'
propertyValues		string[]

AutomationRuleRunPlaybookAction

Ad	Açıklama	Değer
actionConfiguration		playbookActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'RunPlaybook' (gerekli)

AutomationRuleTriggeringLogic

Ad	Açıklama	Değer
Koşul -ları	Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar.	AutomationRuleCondition[]
expirationTimeUtc	Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler.	dizgi
isEnabled	Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler.	bool (gerekli)
triggersOn		'Uyarılar' 'Olaylar' (gerekli)
tetikleyicilerWhen		'Oluşturuldu' 'Güncelleştirildi' (gerekli)

BooleanConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRuleBooleanCondition
conditionType		'Boole' (gerekli)

IncidentLabel

Ad	Açıklama	Değer
labelName	Etiketin adı	dize (gerekli)

IncidentOwnerInfo

Ad	Açıklama	Değer
assignedTo	Olayın atandığı kullanıcının adı.	dizgi
E-posta	Olayın atandığı kullanıcının e-postası.	dizgi
objectId	Olayın atandığı kullanıcının nesne kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Olayın atandığı sahibin türü.	'Grup' 'Bilinmiyor' 'Kullanıcı'
userPrincipalName	Olayın atandığı kullanıcının kullanıcı asıl adı.	dizgi

IncidentPropertiesAction

Ad	Açıklama	Değer
sınıflandırma	Olayın kapanma nedeni	'BenignPositive' 'FalsePositive' 'TruePositive' 'Belirsiz'
classificationComment	Olayın kapanma nedenini açıklar.	dizgi
classificationReason	Olayın kapatıldığı sınıflandırma nedeni	'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected'
Etiket	Olaya eklenecek etiketlerin listesi.	IncidentLabel[]
sahip	Bir olayın atandığı kullanıcıyla ilgili bilgiler	IncidentOwnerInfo
şiddet	Olayın önem derecesi	'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta'
durum	Olayın durumu	'Etkin' 'Kapalı' 'Yeni'

Microsoft.SecurityInsights/automationRules

Ad	Açıklama	Değer
apiVersion	API sürümü	'2023-04-01-preview'
etag	Azure kaynağının etag'i	dizgi
ad	Kaynak adı	dize (gerekli)
Özellikler	Otomasyon kuralı özellikleri	AutomationRuleProperties (gerekli)
tür	Kaynak türü	'Microsoft.SecurityInsights/automationRules'

PlaybookActionProperties

Ad	Açıklama	Değer
logicAppResourceId	Playbook kaynağının kaynak kimliği.	dize (gerekli)
tenantId	Playbook kaynağının kiracı kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (gerekli)

PropertyArrayConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (gerekli)

PropertyChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (gerekli)

PropertyConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesCondition
conditionType		'Özellik' (gerekli)

Kullanım Örnekleri

Azure Hızlı Başlangıç Şablonları

Aşağıdaki Azure Hızlı Başlangıç şablonları bu kaynak türünü dağıtmak.

Şablon	Açıklama
Yeni bir Microsoft Sentinel Otomasyon Kuralı oluşturur 'a dağıtma	Bu örnek, Microsoft Sentinel'de yeni bir otomasyon kuralının nasıl oluşturulacağını gösterir

Terraform (AzAPI sağlayıcısı) kaynak tanımı

automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:

Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.

Kaynak biçimi

Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2023-04-01-preview"
  name = "string"
  parent_id = "string"
  body = {
    etag = "string"
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
  }
}

AutomationRuleCondition nesneleri

nesne türünü belirtmek için conditionType özelliğini ayarlayın.

booleiçin şunu kullanın:

{
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }
  conditionType = "Boolean"
}

Özellikiçin şunu kullanın:

{
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "Property"
}

PropertyArrayiçin şunu kullanın:

{
  conditionProperties = {
    arrayConditionType = "string"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }
  conditionType = "PropertyArray"
}

PropertyArrayChangediçin şunu kullanın:

{
  conditionProperties = {
    arrayType = "string"
    changeType = "string"
  }
  conditionType = "PropertyArrayChanged"
}

PropertyChangediçin şunu kullanın:

{
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }
  conditionType = "PropertyChanged"
}

AutomationRuleAction nesneleri

nesne türünü belirtmek için actionType özelliğini ayarlayın.

AddIncidentTaskiçin şunu kullanın:

{
  actionConfiguration = {
    description = "string"
    title = "string"
  }
  actionType = "AddIncidentTask"
}

ModifyPropertiesiçin şunu kullanın:

{
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }
  actionType = "ModifyProperties"
}

RunPlaybookiçin şunu kullanın:

{
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }
  actionType = "RunPlaybook"
}

Özellik Değerleri

AddIncidentTaskActionProperties

Ad	Açıklama	Değer
Açıklama	Görevin açıklaması.	dizgi
başlık	Görevin başlığı.	dize (gerekli)

AutomationRuleAction

Ad	Açıklama	Değer
actionType	AutomationRuleAddIncidentTaskActiontürü için 'AddIncidentTask' olarak ayarlayın. AutomationRuleModifyPropertiesActiontürü için 'ModifyProperties' olarak ayarlayın. AutomationRuleRunPlaybookActiontürü için 'RunPlaybook' olarak ayarlayın.	'AddIncidentTask' 'ModifyProperties' 'RunPlaybook' (gerekli)
sipariş		int (gerekli)

AutomationRuleAddIncidentTaskAction

Ad	Açıklama	Değer
actionConfiguration		AddIncidentTaskActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'AddIncidentTask' (gerekli)

AutomationRuleBooleanCondition

Ad	Açıklama	Değer
innerConditions		AutomationRuleCondition[]
operatör		'Ve' 'Veya'

AutomationRuleCondition

Ad	Açıklama	Değer
conditionType	BooleanConditionPropertiestürü için 'Boolean' olarak ayarlayın. PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayConditionPropertiestürü için 'PropertyArray' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü için 'PropertyArrayChanged' olarak ayarlayın. PropertyChangedConditionPropertiestürü için 'PropertyChanged' olarak ayarlayın.	'Boole' 'Özellik' 'PropertyArray' 'PropertyArrayChanged' 'PropertyChanged' (gerekli)

AutomationRuleModifyPropertiesAction

Ad	Açıklama	Değer
actionConfiguration		IncidentPropertiesAction
actionType	Otomasyon kuralı eyleminin türü.	'ModifyProperties' (gerekli)

AutomationRuleProperties

Ad	Açıklama	Değer
eylemler	Otomasyon kuralı tetiklendiğinde yürütülecek eylemler.	AutomationRuleAction[] (gerekli)
displayName	Otomasyon kuralının görünen adı.	dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli)
sipariş	Otomasyon kuralının yürütme sırası.	Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli)
triggeringLogic	Otomasyon kuralı tetikleme mantığını açıklar.	AutomationRuleTriggeringLogic (gerekli)

AutomationRulePropertyArrayChangedValuesCondition

Ad	Açıklama	Değer
arrayType		'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler'
changeType		'Eklendi'

AutomationRulePropertyArrayValuesCondition

Ad	Açıklama	Değer
arrayConditionType		'AnyItem'
arrayType		'CustomDetails' 'CustomDetailValues'
itemConditions		AutomationRuleCondition[]

AutomationRulePropertyValuesChangedCondition

Ad	Açıklama	Değer
changeType		'ChangedFrom' 'ChangedTo'
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName		'IncidentOwner' 'IncidentSeverity' 'IncidentStatus'
propertyValues		string[]

AutomationRulePropertyValuesCondition

Ad	Açıklama	Değer
operatör		'İçerir' 'EndsWith' 'Eşittir' 'NotContains' 'NotEndsWith' 'NotEquals' 'NotStartsWith' 'StartsWith'
propertyName	Otomasyon kuralı özellik koşulunda değerlendirilecek özellik.	'AccountAadTenantId' 'AccountAadUserId' 'AccountName' 'AccountNTDomain' 'AccountObjectGuid' 'AccountPUID' 'AccountSid' 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'FileDirectory' 'FileHashValue' 'DosyaAdı' 'HostAzureID' 'HostName' 'HostNetBiosName' 'HostNTDomain' 'HostOSVersion' 'IncidentCustomDetailsKey' 'IncidentCustomDetailsValue' 'IncidentDescription' 'IncidentLabel' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'IncidentSeverity' 'IncidentStatus' 'IncidentTactics' 'IncidentTitle' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceOperatingSystem' 'IoTDeviceType' 'IoTDeviceVendor' 'IPAddress' 'MailboxDisplayName' 'MailboxPrimaryAddress' 'MailboxUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' 'MalwareCategory' 'MalwareName' 'ProcessCommandLine' 'ProcessId' 'RegistryKey' 'RegistryValueData' 'Url'
propertyValues		string[]

AutomationRuleRunPlaybookAction

Ad	Açıklama	Değer
actionConfiguration		playbookActionProperties
actionType	Otomasyon kuralı eyleminin türü.	'RunPlaybook' (gerekli)

AutomationRuleTriggeringLogic

Ad	Açıklama	Değer
Koşul -ları	Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar.	AutomationRuleCondition[]
expirationTimeUtc	Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler.	dizgi
isEnabled	Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler.	bool (gerekli)
triggersOn		'Uyarılar' 'Olaylar' (gerekli)
tetikleyicilerWhen		'Oluşturuldu' 'Güncelleştirildi' (gerekli)

BooleanConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRuleBooleanCondition
conditionType		'Boole' (gerekli)

IncidentLabel

Ad	Açıklama	Değer
labelName	Etiketin adı	dize (gerekli)

IncidentOwnerInfo

Ad	Açıklama	Değer
assignedTo	Olayın atandığı kullanıcının adı.	dizgi
E-posta	Olayın atandığı kullanıcının e-postası.	dizgi
objectId	Olayın atandığı kullanıcının nesne kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$
ownerType	Olayın atandığı sahibin türü.	'Grup' 'Bilinmiyor' 'Kullanıcı'
userPrincipalName	Olayın atandığı kullanıcının kullanıcı asıl adı.	dizgi

IncidentPropertiesAction

Ad	Açıklama	Değer
sınıflandırma	Olayın kapanma nedeni	'BenignPositive' 'FalsePositive' 'TruePositive' 'Belirsiz'
classificationComment	Olayın kapanma nedenini açıklar.	dizgi
classificationReason	Olayın kapatıldığı sınıflandırma nedeni	'InaccurateData' 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected'
Etiket	Olaya eklenecek etiketlerin listesi.	IncidentLabel[]
sahip	Bir olayın atandığı kullanıcıyla ilgili bilgiler	IncidentOwnerInfo
şiddet	Olayın önem derecesi	'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta'
durum	Olayın durumu	'Etkin' 'Kapalı' 'Yeni'

Microsoft.SecurityInsights/automationRules

Ad	Açıklama	Değer
etag	Azure kaynağının etag'i	dizgi
ad	Kaynak adı	dize (gerekli)
parent_id	Bu uzantı kaynağının uygulanacağı kaynağın kimliği.	dize (gerekli)
Özellikler	Otomasyon kuralı özellikleri	AutomationRuleProperties (gerekli)
tür	Kaynak türü	"Microsoft.SecurityInsights/automationRules@2023-04-01-preview"

PlaybookActionProperties

Ad	Açıklama	Değer
logicAppResourceId	Playbook kaynağının kaynak kimliği.	dize (gerekli)
tenantId	Playbook kaynağının kiracı kimliği.	dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$

PropertyArrayChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayChangedValuesCondition
conditionType		'PropertyArrayChanged' (gerekli)

PropertyArrayConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyArrayValuesCondition
conditionType		'PropertyArray' (gerekli)

PropertyChangedConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesChangedCondition
conditionType		'PropertyChanged' (gerekli)

PropertyConditionProperties

Ad	Açıklama	Değer
conditionProperties		AutomationRulePropertyValuesCondition
conditionType		'Özellik' (gerekli)