Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
- en son
- 2025-06-01
- 2025-04-01-önizleme
- 2025-03-01
- 2025-01-01-önizleme
- 2024-10-01-önizleme
- 2024-09-01
- 2024-04-01-önizleme
- 2024-03-01
- 2024-01-01-önizleme
- 2023-12-01-önizleme
- 2023-11-01
- 2023-10-01-önizleme
- 2023-09-01-önizleme
- 2023-08-01-önizleme
- 2023-07-01-önizleme
- 2023-06-01-önizleme
- 2023-05-01-önizleme
- 2023-04-01-önizleme
- 2023-03-01-önizleme
- 2023-02-01
- 2023-02-01-önizleme
- 2022-12-01-önizleme
- 2022-11-01
- 2022-11-01-önizleme
- 2022-10-01-önizleme
- 2022-09-01-önizleme
- 2022-08-01
- 2022-08-01-önizleme
- 2022-07-01-önizleme
- 2022-06-01-önizleme
- 2022-05-01-önizleme
- 2022-04-01-önizleme
- 2022-01-01-önizleme
- 2021-10-01
- 2021-10-01-önizleme
- 2021-09-01-önizleme
- 2019-01-01-önizleme
Bicep kaynak tanımı
automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki Bicep'i ekleyin.
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-11-01' = {
scope: resourceSymbolicName or scope
etag: 'string'
name: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
AutomationRuleCondition nesneleri
nesne türünü belirtmek için conditionType özelliğini ayarlayın.
Özellikiçin şunu kullanın:
{
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'Property'
}
PropertyArrayChangediçin şunu kullanın:
{
conditionProperties: {
arrayType: 'string'
changeType: 'string'
}
conditionType: 'PropertyArrayChanged'
}
PropertyChangediçin şunu kullanın:
{
conditionProperties: {
changeType: 'string'
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
conditionType: 'PropertyChanged'
}
AutomationRuleAction nesneleri
nesne türünü belirtmek için actionType özelliğini ayarlayın.
ModifyProperties
{
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
actionType: 'ModifyProperties'
}
RunPlaybookiçin şunu kullanın:
{
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
actionType: 'RunPlaybook'
}
Özellik Değerleri
Microsoft.SecurityInsights/automationRules
| Ad | Açıklama | Değer |
|---|---|---|
| ETİKET | Azure kaynağının etag'i | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| Özellikler | Otomasyon kuralı özellikleri | AutomationRuleProperties (gerekli) |
| kapsam | Dağıtım kapsamından farklı bir kapsamda kaynak oluştururken kullanın. | uzantısı kaynağınıuygulamak için bu özelliği kaynağın sembolik adı olarak ayarlayın. |
AutomationRuleAction (OtomasyonKuralEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| işlem türü | AutomationRuleModifyPropertiesActiontürü |
'Özellikleri Değiştir' 'RunPlaybook' (gerekli) |
| sipariş | int (gerekli) |
AutomationRuleCondition
| Ad | Açıklama | Değer |
|---|---|---|
| koşulTürü |
PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü |
'Özellik' 'PropertyArrayChanged' 'PropertyChanged' (gerekli) |
AutomationRuleModifyPropertiesAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | IncidentPropertiesAction (Olay ÖzellikleriEylemi) | |
| işlem türü | Otomasyon kuralı eyleminin türü. | 'ModifyProperties' (gerekli) |
AutomationRuleProperties
| Ad | Açıklama | Değer |
|---|---|---|
| eylemler | Otomasyon kuralı tetiklendiğinde yürütülecek eylemler. | AutomationRuleAction[] (gerekli) |
| ekran adı | Otomasyon kuralının görünen adı. | dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli) |
| sipariş | Otomasyon kuralının yürütme sırası. | Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli) |
| tetikleme Mantığı | Otomasyon kuralı tetikleme mantığını açıklar. | AutomationRuleTriggeringLogic (gerekli) |
AutomationRulePropertyArrayChangedValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| dizi türü | 'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler' |
|
| değişiklik türü | 'Eklendi' |
AutomationRulePropertyValuesChangedCondition
| Ad | Açıklama | Değer |
|---|---|---|
| değişiklik türü | 'Kimden Değiştirildi' 'Değiştirildi' |
|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | 'Olay Sahibi' 'Olay Şiddeti' 'Olay Durumu' |
|
| propertyValues | dize[] |
AutomationRulePropertyValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | Otomasyon kuralı özellik koşulunda değerlendirilecek özellik. | 'AccountAadTenantId' 'AccountAadUserId' 'Hesap Adı' 'HesapNTDomain' 'AccountObjectGuid' 'HesapPUID' 'Hesap Sid'i 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' (Uyarı Ürün Adları) 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'Dosya Dizini' 'DosyaHashDeğeri' 'DosyaAdı' 'HostAzureID' 'Ana Bilgisayar Adı' 'HostNetBios Adı' 'Ana BilgisayarNTDomain' 'HostOSVersion' 'Olay Açıklaması' 'Olay Etiketi' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Olay Şiddeti' 'Olay Durumu' 'Olay Taktikleri' 'Olay Başlığı' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceİşletim Sistemi' 'IoTDeviceType' 'IoTDeviceSatıcısı' 'IPAddress' (IPAddress) 'Posta KutusuDisplayName' 'Posta KutusuBirincil Adresi' 'Posta KutusuUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' (Posta MesajKonusu) 'Kötü Amaçlı Yazılım Kategorisi' 'Kötü Amaçlı Yazılım Adı' 'ProcessCommandLine' 'İşlem Kimliği' 'Kayıt Anahtarı' 'Kayıt DefteriDeğer Verileri' 'URL' |
| propertyValues | dize[] |
AutomationRuleRunPlaybookAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | playbookActionProperties |
|
| işlem türü | Otomasyon kuralı eyleminin türü. | 'RunPlaybook' (gerekli) |
AutomationRuleTriggeringLogic
| Ad | Açıklama | Değer |
|---|---|---|
| Koşul -ları | Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar. | AutomationRuleCondition[] |
| expirationTimeUtc | Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler. | dizgi |
| etkinleştirildi | Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler. | bool (gerekli) |
| triggersOn (Açık) | 'Uyarılar' 'Olaylar' (gerekli) |
|
| tetikleyicilerWhen | 'Oluşturuldu' 'Güncelleştirildi' (gerekli) |
Olay Etiketi
| Ad | Açıklama | Değer |
|---|---|---|
| labelName (etiket) | Etiketin adı | dize (gerekli) |
IncidentOwnerInfo
| Ad | Açıklama | Değer |
|---|---|---|
| atananTo | Olayın atandığı kullanıcının adı. | dizgi |
| E-posta | Olayın atandığı kullanıcının e-postası. | dizgi |
| objectId (nesne kimliği) | Olayın atandığı kullanıcının nesne kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| sahip türü | Olayın atandığı sahibin türü. | 'Grup' 'Bilinmiyor' 'Kullanıcı' |
| kullanıcı ana adı | Olayın atandığı kullanıcının kullanıcı asıl adı. | dizgi |
IncidentPropertiesAction (Olay ÖzellikleriEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| sınıflandırma | Olayın kapanma nedeni | 'İyi Huylu Pozitif' 'Yanlış Pozitif' 'Gerçek Pozitif' 'Belirsiz' |
| sınıflandırmaYorum Yap | Olayın kapanma nedenini açıklar. | dizgi |
| classificationNeden | Olayın kapatıldığı sınıflandırma nedeni | 'Yanlış Veri' 'YanlışAlertLogic' 'Şüpheli Faaliyet' 'Şüpheli Ama Beklenen' |
| Etiket | Olaya eklenecek etiketlerin listesi. | IncidentLabel[] |
| sahip | Bir olayın atandığı kullanıcıyla ilgili bilgiler | IncidentOwnerInfo |
| şiddet | Olayın önem derecesi | 'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta' |
| durum | Olayın durumu | 'Etkin' 'Kapalı' 'Yeni' |
PlaybookActionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| logicAppResourceId | Playbook kaynağının kaynak kimliği. | dize (gerekli) |
| kiracıKimliği | Playbook kaynağının kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| koşulTürü | 'PropertyArrayChanged' (gerekli) |
PropertyChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| koşulTürü | 'PropertyChanged' (gerekli) |
PropertyConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| koşulTürü | 'Özellik' (gerekli) |
ARM şablonu kaynak tanımı
automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki JSON'u ekleyin.
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2023-11-01",
"name": "string",
"etag": "string",
"properties": {
"actions": [ {
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
} ],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [ {
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
} ],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
AutomationRuleCondition nesneleri
nesne türünü belirtmek için conditionType özelliğini ayarlayın.
Özellikiçin şunu kullanın:
{
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "Property"
}
PropertyArrayChangediçin şunu kullanın:
{
"conditionProperties": {
"arrayType": "string",
"changeType": "string"
},
"conditionType": "PropertyArrayChanged"
}
PropertyChangediçin şunu kullanın:
{
"conditionProperties": {
"changeType": "string",
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
},
"conditionType": "PropertyChanged"
}
AutomationRuleAction nesneleri
nesne türünü belirtmek için actionType özelliğini ayarlayın.
ModifyProperties
{
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
},
"actionType": "ModifyProperties"
}
RunPlaybookiçin şunu kullanın:
{
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
},
"actionType": "RunPlaybook"
}
Özellik Değerleri
Microsoft.SecurityInsights/automationRules
| Ad | Açıklama | Değer |
|---|---|---|
| apiVersiyonu | API sürümü | '2023-11-01' |
| ETİKET | Azure kaynağının etag'i | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| Özellikler | Otomasyon kuralı özellikleri | AutomationRuleProperties (gerekli) |
| tür | Kaynak türü | 'Microsoft.SecurityInsights/automationRules' |
AutomationRuleAction (OtomasyonKuralEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| işlem türü | AutomationRuleModifyPropertiesActiontürü |
'Özellikleri Değiştir' 'RunPlaybook' (gerekli) |
| sipariş | int (gerekli) |
AutomationRuleCondition
| Ad | Açıklama | Değer |
|---|---|---|
| koşulTürü |
PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü |
'Özellik' 'PropertyArrayChanged' 'PropertyChanged' (gerekli) |
AutomationRuleModifyPropertiesAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | IncidentPropertiesAction (Olay ÖzellikleriEylemi) | |
| işlem türü | Otomasyon kuralı eyleminin türü. | 'ModifyProperties' (gerekli) |
AutomationRuleProperties
| Ad | Açıklama | Değer |
|---|---|---|
| eylemler | Otomasyon kuralı tetiklendiğinde yürütülecek eylemler. | AutomationRuleAction[] (gerekli) |
| ekran adı | Otomasyon kuralının görünen adı. | dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli) |
| sipariş | Otomasyon kuralının yürütme sırası. | Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli) |
| tetikleme Mantığı | Otomasyon kuralı tetikleme mantığını açıklar. | AutomationRuleTriggeringLogic (gerekli) |
AutomationRulePropertyArrayChangedValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| dizi türü | 'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler' |
|
| değişiklik türü | 'Eklendi' |
AutomationRulePropertyValuesChangedCondition
| Ad | Açıklama | Değer |
|---|---|---|
| değişiklik türü | 'Kimden Değiştirildi' 'Değiştirildi' |
|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | 'Olay Sahibi' 'Olay Şiddeti' 'Olay Durumu' |
|
| propertyValues | dize[] |
AutomationRulePropertyValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | Otomasyon kuralı özellik koşulunda değerlendirilecek özellik. | 'AccountAadTenantId' 'AccountAadUserId' 'Hesap Adı' 'HesapNTDomain' 'AccountObjectGuid' 'HesapPUID' 'Hesap Sid'i 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' (Uyarı Ürün Adları) 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'Dosya Dizini' 'DosyaHashDeğeri' 'DosyaAdı' 'HostAzureID' 'Ana Bilgisayar Adı' 'HostNetBios Adı' 'Ana BilgisayarNTDomain' 'HostOSVersion' 'Olay Açıklaması' 'Olay Etiketi' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Olay Şiddeti' 'Olay Durumu' 'Olay Taktikleri' 'Olay Başlığı' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceİşletim Sistemi' 'IoTDeviceType' 'IoTDeviceSatıcısı' 'IPAddress' (IPAddress) 'Posta KutusuDisplayName' 'Posta KutusuBirincil Adresi' 'Posta KutusuUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' (Posta MesajKonusu) 'Kötü Amaçlı Yazılım Kategorisi' 'Kötü Amaçlı Yazılım Adı' 'ProcessCommandLine' 'İşlem Kimliği' 'Kayıt Anahtarı' 'Kayıt DefteriDeğer Verileri' 'URL' |
| propertyValues | dize[] |
AutomationRuleRunPlaybookAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | playbookActionProperties |
|
| işlem türü | Otomasyon kuralı eyleminin türü. | 'RunPlaybook' (gerekli) |
AutomationRuleTriggeringLogic
| Ad | Açıklama | Değer |
|---|---|---|
| Koşul -ları | Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar. | AutomationRuleCondition[] |
| expirationTimeUtc | Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler. | dizgi |
| etkinleştirildi | Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler. | bool (gerekli) |
| triggersOn (Açık) | 'Uyarılar' 'Olaylar' (gerekli) |
|
| tetikleyicilerWhen | 'Oluşturuldu' 'Güncelleştirildi' (gerekli) |
Olay Etiketi
| Ad | Açıklama | Değer |
|---|---|---|
| labelName (etiket) | Etiketin adı | dize (gerekli) |
IncidentOwnerInfo
| Ad | Açıklama | Değer |
|---|---|---|
| atananTo | Olayın atandığı kullanıcının adı. | dizgi |
| E-posta | Olayın atandığı kullanıcının e-postası. | dizgi |
| objectId (nesne kimliği) | Olayın atandığı kullanıcının nesne kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| sahip türü | Olayın atandığı sahibin türü. | 'Grup' 'Bilinmiyor' 'Kullanıcı' |
| kullanıcı ana adı | Olayın atandığı kullanıcının kullanıcı asıl adı. | dizgi |
IncidentPropertiesAction (Olay ÖzellikleriEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| sınıflandırma | Olayın kapanma nedeni | 'İyi Huylu Pozitif' 'Yanlış Pozitif' 'Gerçek Pozitif' 'Belirsiz' |
| sınıflandırmaYorum Yap | Olayın kapanma nedenini açıklar. | dizgi |
| classificationNeden | Olayın kapatıldığı sınıflandırma nedeni | 'Yanlış Veri' 'YanlışAlertLogic' 'Şüpheli Faaliyet' 'Şüpheli Ama Beklenen' |
| Etiket | Olaya eklenecek etiketlerin listesi. | IncidentLabel[] |
| sahip | Bir olayın atandığı kullanıcıyla ilgili bilgiler | IncidentOwnerInfo |
| şiddet | Olayın önem derecesi | 'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta' |
| durum | Olayın durumu | 'Etkin' 'Kapalı' 'Yeni' |
PlaybookActionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| logicAppResourceId | Playbook kaynağının kaynak kimliği. | dize (gerekli) |
| kiracıKimliği | Playbook kaynağının kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| koşulTürü | 'PropertyArrayChanged' (gerekli) |
PropertyChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| koşulTürü | 'PropertyChanged' (gerekli) |
PropertyConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| koşulTürü | 'Özellik' (gerekli) |
Kullanım Örnekleri
Azure Hızlı Başlangıç Şablonları
Aşağıdaki Azure Hızlı Başlangıç şablonları bu kaynak türünü dağıtmak.
| Şablon | Açıklama |
|---|---|
Yeni bir Microsoft Sentinel Otomasyon Kuralı oluşturur
'a dağıtma |
Bu örnek, Microsoft Sentinel'de yeni bir otomasyon kuralının nasıl oluşturulacağını gösterir |
Terraform (AzAPI sağlayıcısı) kaynak tanımı
automationRules kaynak türü, aşağıdakileri hedefleyen işlemlerle dağıtılabilir:
Her API sürümünde değiştirilen özelliklerin listesi için bkz. değişiklik günlüğü.
Kaynak biçimi
Microsoft.SecurityInsights/automationRules kaynağı oluşturmak için şablonunuza aşağıdaki Terraform'u ekleyin.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2023-11-01"
name = "string"
parent_id = "string"
body = {
etag = "string"
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
}
}
AutomationRuleCondition nesneleri
nesne türünü belirtmek için conditionType özelliğini ayarlayın.
Özellikiçin şunu kullanın:
{
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "Property"
}
PropertyArrayChangediçin şunu kullanın:
{
conditionProperties = {
arrayType = "string"
changeType = "string"
}
conditionType = "PropertyArrayChanged"
}
PropertyChangediçin şunu kullanın:
{
conditionProperties = {
changeType = "string"
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
conditionType = "PropertyChanged"
}
AutomationRuleAction nesneleri
nesne türünü belirtmek için actionType özelliğini ayarlayın.
ModifyProperties
{
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
actionType = "ModifyProperties"
}
RunPlaybookiçin şunu kullanın:
{
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
actionType = "RunPlaybook"
}
Özellik Değerleri
Microsoft.SecurityInsights/automationRules
| Ad | Açıklama | Değer |
|---|---|---|
| ETİKET | Azure kaynağının etag'i | dizgi |
| ad | Kaynak adı | dize (gerekli) |
| ebeveyn_kimlik | Bu uzantı kaynağının uygulanacağı kaynağın kimliği. | dize (gerekli) |
| Özellikler | Otomasyon kuralı özellikleri | AutomationRuleProperties (gerekli) |
| tür | Kaynak türü | "Microsoft.SecurityInsights/automationRules@2023-11-01" (İngilizce) |
AutomationRuleAction (OtomasyonKuralEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| işlem türü | AutomationRuleModifyPropertiesActiontürü |
'Özellikleri Değiştir' 'RunPlaybook' (gerekli) |
| sipariş | int (gerekli) |
AutomationRuleCondition
| Ad | Açıklama | Değer |
|---|---|---|
| koşulTürü |
PropertyConditionPropertiestürü için 'Property' olarak ayarlayın. PropertyArrayChangedConditionPropertiestürü |
'Özellik' 'PropertyArrayChanged' 'PropertyChanged' (gerekli) |
AutomationRuleModifyPropertiesAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | IncidentPropertiesAction (Olay ÖzellikleriEylemi) | |
| işlem türü | Otomasyon kuralı eyleminin türü. | 'ModifyProperties' (gerekli) |
AutomationRuleProperties
| Ad | Açıklama | Değer |
|---|---|---|
| eylemler | Otomasyon kuralı tetiklendiğinde yürütülecek eylemler. | AutomationRuleAction[] (gerekli) |
| ekran adı | Otomasyon kuralının görünen adı. | dizgi Kısıtlama -ları: Maksimum uzunluk = 500 (gerekli) |
| sipariş | Otomasyon kuralının yürütme sırası. | Int Kısıtlama -ları: Min değer = 1 Maksimum değer = 1000 (gerekli) |
| tetikleme Mantığı | Otomasyon kuralı tetikleme mantığını açıklar. | AutomationRuleTriggeringLogic (gerekli) |
AutomationRulePropertyArrayChangedValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| dizi türü | 'Uyarılar' 'Açıklamalar' 'Etiketler' 'Taktikler' |
|
| değişiklik türü | 'Eklendi' |
AutomationRulePropertyValuesChangedCondition
| Ad | Açıklama | Değer |
|---|---|---|
| değişiklik türü | 'Kimden Değiştirildi' 'Değiştirildi' |
|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | 'Olay Sahibi' 'Olay Şiddeti' 'Olay Durumu' |
|
| propertyValues | dize[] |
AutomationRulePropertyValuesCondition
| Ad | Açıklama | Değer |
|---|---|---|
| operatör | 'İçerir' 'İle Biter' 'Eşittir' 'İçermez' 'NotEndsWith' 'Eşit Değil' 'NotStartsWith' 'İle Başlar' |
|
| özellikAdı | Otomasyon kuralı özellik koşulunda değerlendirilecek özellik. | 'AccountAadTenantId' 'AccountAadUserId' 'Hesap Adı' 'HesapNTDomain' 'AccountObjectGuid' 'HesapPUID' 'Hesap Sid'i 'AccountUPNSuffix' 'AlertAnalyticRuleIds' 'AlertProductNames' (Uyarı Ürün Adları) 'AzureResourceResourceId' 'AzureResourceSubscriptionId' 'CloudApplicationAppId' 'CloudApplicationAppName' 'DNSDomainName' 'Dosya Dizini' 'DosyaHashDeğeri' 'DosyaAdı' 'HostAzureID' 'Ana Bilgisayar Adı' 'HostNetBios Adı' 'Ana BilgisayarNTDomain' 'HostOSVersion' 'Olay Açıklaması' 'Olay Etiketi' 'IncidentProviderName' 'IncidentRelatedAnalyticRuleIds' 'Olay Şiddeti' 'Olay Durumu' 'Olay Taktikleri' 'Olay Başlığı' 'IncidentUpdatedBySource' 'IoTDeviceId' 'IoTDeviceModel' 'IoTDeviceName' 'IoTDeviceİşletim Sistemi' 'IoTDeviceType' 'IoTDeviceSatıcısı' 'IPAddress' (IPAddress) 'Posta KutusuDisplayName' 'Posta KutusuBirincil Adresi' 'Posta KutusuUPN' 'MailMessageDeliveryAction' 'MailMessageDeliveryLocation' 'MailMessageP1Sender' 'MailMessageP2Sender' 'MailMessageRecipient' 'MailMessageSenderIP' 'MailMessageSubject' (Posta MesajKonusu) 'Kötü Amaçlı Yazılım Kategorisi' 'Kötü Amaçlı Yazılım Adı' 'ProcessCommandLine' 'İşlem Kimliği' 'Kayıt Anahtarı' 'Kayıt DefteriDeğer Verileri' 'URL' |
| propertyValues | dize[] |
AutomationRuleRunPlaybookAction
| Ad | Açıklama | Değer |
|---|---|---|
| actionConfiguration (Eylem Yapılandırması | playbookActionProperties |
|
| işlem türü | Otomasyon kuralı eyleminin türü. | 'RunPlaybook' (gerekli) |
AutomationRuleTriggeringLogic
| Ad | Açıklama | Değer |
|---|---|---|
| Koşul -ları | Otomasyon kuralının belirli bir nesne üzerinde tetiklenip tetiklenmediğini belirlemek için değerlendirilecek koşullar. | AutomationRuleCondition[] |
| expirationTimeUtc | Otomasyon kuralının süresinin otomatik olarak ne zaman dolması ve devre dışı bırakılması gerektiğini belirler. | dizgi |
| etkinleştirildi | Otomasyon kuralının etkin mi yoksa devre dışı mı olduğunu belirler. | bool (gerekli) |
| triggersOn (Açık) | 'Uyarılar' 'Olaylar' (gerekli) |
|
| tetikleyicilerWhen | 'Oluşturuldu' 'Güncelleştirildi' (gerekli) |
Olay Etiketi
| Ad | Açıklama | Değer |
|---|---|---|
| labelName (etiket) | Etiketin adı | dize (gerekli) |
IncidentOwnerInfo
| Ad | Açıklama | Değer |
|---|---|---|
| atananTo | Olayın atandığı kullanıcının adı. | dizgi |
| E-posta | Olayın atandığı kullanıcının e-postası. | dizgi |
| objectId (nesne kimliği) | Olayın atandığı kullanıcının nesne kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
| sahip türü | Olayın atandığı sahibin türü. | 'Grup' 'Bilinmiyor' 'Kullanıcı' |
| kullanıcı ana adı | Olayın atandığı kullanıcının kullanıcı asıl adı. | dizgi |
IncidentPropertiesAction (Olay ÖzellikleriEylemi)
| Ad | Açıklama | Değer |
|---|---|---|
| sınıflandırma | Olayın kapanma nedeni | 'İyi Huylu Pozitif' 'Yanlış Pozitif' 'Gerçek Pozitif' 'Belirsiz' |
| sınıflandırmaYorum Yap | Olayın kapanma nedenini açıklar. | dizgi |
| classificationNeden | Olayın kapatıldığı sınıflandırma nedeni | 'Yanlış Veri' 'YanlışAlertLogic' 'Şüpheli Faaliyet' 'Şüpheli Ama Beklenen' |
| Etiket | Olaya eklenecek etiketlerin listesi. | IncidentLabel[] |
| sahip | Bir olayın atandığı kullanıcıyla ilgili bilgiler | IncidentOwnerInfo |
| şiddet | Olayın önem derecesi | 'Yüksek' 'Bilgilendiren' 'Düşük' 'Orta' |
| durum | Olayın durumu | 'Etkin' 'Kapalı' 'Yeni' |
PlaybookActionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| logicAppResourceId | Playbook kaynağının kaynak kimliği. | dize (gerekli) |
| kiracıKimliği | Playbook kaynağının kiracı kimliği. | dizgi Kısıtlama -ları: En az uzunluk = 36 Maksimum uzunluk = 36 Desen = ^[0-9a-fA-F]{8}-([0-9a-fA-F]{4}-){3}[0-9a-fA-F]{12}$ |
PropertyArrayChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyArrayChangedValuesCondition | |
| koşulTürü | 'PropertyArrayChanged' (gerekli) |
PropertyChangedConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesChangedCondition | |
| koşulTürü | 'PropertyChanged' (gerekli) |
PropertyConditionProperties
| Ad | Açıklama | Değer |
|---|---|---|
| conditionProperties | AutomationRulePropertyValuesCondition | |
| koşulTürü | 'Özellik' (gerekli) |