你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.SecurityInsights alertRules 2022-04-01-preview
- 最新
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022 年 8 月 1 日
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2021-03-01-preview
- 2020-01-01
- 2019-01-01-preview
Bicep 资源定义
alertRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/alertRules 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2022-04-01-preview' = {
name: 'string'
kind: 'string'
scope: resourceSymbolicName
etag: 'string'
// For remaining properties, see alertRules objects
}
alertRules 对象
设置 kind 属性以指定对象的类型。
对于 Fusion,请使用:
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
scenarioExclusionPatterns: [
{
dateAddedInUTC: 'string'
exclusionPattern: 'string'
}
]
sourceSettings: [
{
enabled: bool
sourceName: 'string'
sourceSubTypes: [
{
enabled: bool
severityFilters: {
filters: [
{
enabled: bool
severity: 'string'
}
]
}
sourceSubTypeName: 'string'
}
]
}
]
}
对于 MicrosoftSecurityIncidentCreation,请使用:
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
对于 MLBehaviorAnalytics,请使用:
kind: 'MLBehaviorAnalytics'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
对于 NRT,请使用:
kind: 'NRT'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
}
对于 “计划”,请使用:
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
对于 ThreatIntelligence,请使用:
kind: 'ThreatIntelligence'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
属性值
alertRules
| 名称 | 说明 | 值 |
|---|---|---|
| name | 资源名称 | 字符串 (必需) |
| kind | 设置对象类型 | 合成 MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT 计划 需要 ThreatIntelligence () |
| scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源。 |
| etag | Azure 资源的 Etag | 字符串 |
FusionAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “Fusion” (必需) |
| properties | 融合警报规则属性 | FusionAlertRuleProperties |
FusionAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用或禁用此警报规则。 | bool (必需) |
| scenarioExclusionPatterns | 配置以排除融合检测中的方案。 | FusionScenarioExclusionPattern[] |
| sourceSettings | 融合检测中所有支持的源信号的配置。 | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| 名称 | 说明 | 值 |
|---|---|---|
| dateAddedInUTC | 在 UTC 中添加方案排除模式时的 DateTime。 | 字符串 (必需) |
| exclusionPattern | 方案排除模式。 | 字符串 (必需) |
FusionSourceSettings
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定在 Fusion 检测中是启用还是禁用此源信号。 | 需要 bool () |
| sourceName | Fusion 源信号的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
| sourceSubTypes | 此源信号下在融合检测中使用的所有源子类型的配置。 | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定是否在 Fusion 检测中启用或禁用源信号下的此源子类型。 | 需要 bool () |
| severityFilters | 融合检测中使用的源子类型的严重性配置。 | FusionSubTypeSeverityFilter (必需) |
| sourceSubTypeName | Fusion 检测中给定源信号下的源子类型的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
FusionSubTypeSeverityFilter
| 名称 | 说明 | 值 |
|---|---|---|
| 筛选器 | Fusion 检测中使用的给定源子类型的单个严重性配置设置。 | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定对于 Fusion 检测中使用的此源子类型,是启用或禁用此严重性。 | 需要 bool () |
| severity | Fusion 检测中使用的给定源子类型的严重性。 | “High” “Informational” 'Low' “中等” (必需) |
MicrosoftSecurityIncidentCreationAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “MicrosoftSecurityIncidentCreation” (必需) |
| properties | MicrosoftSecurityIncidentCreation 规则属性 | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 |
| description | 警报规则的说明。 | 字符串 |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| displayNamesExcludeFilter | 不会生成事例的警报的 displayNames | string[] |
| displayNamesFilter | 将生成事例的警报的 displayNames | string[] |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| productFilter | 将生成事例的警报的 productName | “Azure Active Directory 标识保护” “Azure 高级威胁防护” “Azure 安全中心 for IoT” “Azure 安全中心” “Microsoft Cloud App Security” “Microsoft Defender高级威胁防护” 需要“Office 365高级威胁防护” () |
| severitiesFilter | 将生成事例的警报的严重性 | 包含任何一项的字符串数组: “High” “Informational” 'Low' 'Medium' |
MLBehaviorAnalyticsAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“MLBehaviorAnalytics” () |
| properties | MLBehaviorAnalytics 警报规则属性 | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
NrtAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “NRT” (必需) |
| properties | NRT 警报规则属性 | NrtAlertRuleProperties |
NrtAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | string |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | 字符串 (必需) |
| severity | 此警报规则创建的警报的严重性。 | “High” “Informational” 'Low' “中等” (必需) |
| suppressionDuration | ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | 需要 bool () |
| 策略 | 警报规则的策略 | 包含任何一项的字符串数组: 'Collection' 'CommandAndControl' 'CredentialAccess' “DefenseEvasion” 'Discovery' “Execution” “外泄” 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' “InitialAccess” “LateralMovement” “持久性” 'PreAttack' “PrivilegeEscalation” “侦查” “ResourceDevelopment” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板版本 - 格式为 {a.b.c},其中全部为数字,例如 0 {1.0.2} | 字符串 |
AlertDetailsOverride
| 名称 | 说明 | 值 |
|---|---|---|
| alertDescriptionFormat | 包含列名称 () 的格式,用于替代警报说明 | string |
| alertDisplayNameFormat | 包含列名称的格式 () 来替代警报名称 | 字符串 |
| alertSeverityColumnName | 要从中获取警报严重性的列名 | string |
| alertTacticsColumnName | 要从中获取警报策略的列名称 | string |
EntityMapping
| 名称 | 说明 | 值 |
|---|---|---|
| entityType | 映射实体的 V3 类型 | “帐户” “AzureResource” “CloudApplication” “DNS” “文件” 'FileHash' “Host” “IP” 'MailCluster' “MailMessage” “Mailbox” “恶意软件” “Process” “RegistryKey” “RegistryValue” “SecurityGroup” “SubmissionMail” “URL” |
| fieldMappings | 给定实体映射的字段映射数组 | FieldMapping[] |
FieldMapping
| 名称 | 说明 | 值 |
|---|---|---|
| columnName | 要映射到标识符的列名 | 字符串 |
| 标识符 | 实体的 V3 标识符 | 字符串 |
IncidentConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| createIncident | 根据此分析规则触发的警报创建事件 | bool (必需) |
| groupingConfiguration | 设置此分析规则触发的警报如何分组到事件中 | GroupingConfiguration |
GroupingConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 已启用分组 | bool (必需) |
| groupByAlertDetails | 匹配的“已选择方法”时按 (分组的警报详细信息列表) | 包含任意项的字符串数组: “DisplayName” “严重性” |
| groupByCustomDetails | 当匹配Method 为 Selected) 时,按 (分组的自定义详细信息键列表。 只能使用当前警报规则中定义的密钥。 | string[] |
| groupByEntities | 当匹配Method 为 Selected) 时,按 (分组的实体类型的列表。 只能使用当前警报规则中定义的实体。 | 包含任意项的字符串数组: “帐户” “AzureResource” “CloudApplication” “DNS” “文件” 'FileHash' “Host” “IP” 'MailCluster' “MailMessage” “Mailbox” “恶意软件” “Process” “RegistryKey” “RegistryValue” “SecurityGroup” “SubmissionMail” “URL” |
| lookbackDuration | 将组限制为在 iso 8601 持续时间格式的回溯持续时间 (创建的警报) | 字符串 (必需) |
| matchingMethod | 分组匹配方法。 当方法为“选择至少一个 groupByEntities”时,必须提供 groupByAlertDetails、groupByCustomDetails,而不是空的。 | “AllEntities” 'AnyAlert' “Selected” (必需) |
| reopenClosedIncident | 重新打开已关闭的匹配事件 | 需要 bool () |
ScheduledAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “Scheduled” (必需) |
| properties | 计划的警报规则属性 | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | 字符串 |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| eventGroupingSettings | 事件分组设置。 | EventGroupingSettings |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | 字符串 |
| queryFrequency | ) 运行此警报规则的频率 (ISO 8601 持续时间格式。 | 字符串 |
| queryPeriod | 此警报规则) 以 ISO 8601 持续时间格式 (时间段。 | string |
| severity | 此警报规则创建的警报的严重性。 | “High” “Informational” 'Low' 'Medium' |
| suppressionDuration | ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | 需要 bool () |
| 策略 | 警报规则的策略 | 包含任何一项的字符串数组: 'Collection' 'CommandAndControl' 'CredentialAccess' “DefenseEvasion” 'Discovery' “Execution” “外泄” 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' “InitialAccess” “LateralMovement” “持久性” 'PreAttack' “PrivilegeEscalation” “侦查” “ResourceDevelopment” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板版本 - 格式为 {a.b.c},其中全部为数字,例如 0 {1.0.2} | 字符串 |
| triggerOperator | 针对触发警报规则的阈值的操作。 | “Equal” “GreaterThan” “LessThan” “NotEqual” |
| triggerThreshold | 阈值触发此警报规则。 | int |
EventGroupingSettings
| 名称 | 说明 | 值 |
|---|---|---|
| aggregationKind | 事件分组聚合类型 | 'AlertPerResult' 'SingleAlert' |
ThreatIntelligenceAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“ThreatIntelligence” () |
| properties | 威胁情报警报规则属性 | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
创建新的 Microsoft Sentinel 计划分析规则 |
此示例演示如何在 Microsoft Sentinel 中创建新的计划分析规则 |
ARM 模板资源定义
alertRules 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。
scope使用此资源上的 属性可设置此资源的作用域。 请参阅 在 ARM 模板中设置扩展资源的范围。
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/alertRules 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.SecurityInsights/alertRules",
"apiVersion": "2022-04-01-preview",
"name": "string",
"kind": "string",
"scope": "string",
"etag": "string",
// For remaining properties, see alertRules objects
}
alertRules 对象
设置 kind 属性以指定对象的类型。
对于 Fusion,请使用:
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool",
"scenarioExclusionPatterns": [
{
"dateAddedInUTC": "string",
"exclusionPattern": "string"
}
],
"sourceSettings": [
{
"enabled": "bool",
"sourceName": "string",
"sourceSubTypes": [
{
"enabled": "bool",
"severityFilters": {
"filters": [
{
"enabled": "bool",
"severity": "string"
}
]
},
"sourceSubTypeName": "string"
}
]
}
]
}
对于 MicrosoftSecurityIncidentCreation,请使用:
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
对于 MLBehaviorAnalytics,请使用:
"kind": "MLBehaviorAnalytics",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
对于 NRT,请使用:
"kind": "NRT",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string"
}
对于 “计划”,请使用:
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
对于 ThreatIntelligence,请使用:
"kind": "ThreatIntelligence",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
属性值
alertRules
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.SecurityInsights/alertRules” |
| apiVersion | 资源 API 版本 | '2022-04-01-preview' |
| name | 资源名称 | 字符串 (必需) |
| kind | 设置对象类型 | 合成 MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT 计划 需要 threatIntelligence () |
| scope | 在不同于部署范围的范围创建扩展资源时使用 。 | 目标资源 对于 JSON,请将值设置为要向其应用 扩展资源的资源 的全名。 |
| etag | Azure 资源的 Etag | string |
FusionAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“Fusion” () |
| properties | Fusion 警报规则属性 | FusionAlertRuleProperties |
FusionAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| scenarioExclusionPatterns | 用于排除融合检测中的方案的配置。 | FusionScenarioExclusionPattern[] |
| sourceSettings | 融合检测中所有支持的源信号的配置。 | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| 名称 | 说明 | 值 |
|---|---|---|
| dateAddedInUTC | 以 UTC 格式添加方案排除模式时的 DateTime。 | 字符串 (必需) |
| exclusionPattern | 方案排除模式。 | 字符串 (必需) |
FusionSourceSettings
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定在 Fusion 检测中是启用还是禁用此源信号。 | 需要 bool () |
| sourceName | Fusion 源信号的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
| sourceSubTypes | 此源信号下在融合检测中使用的所有源子类型的配置。 | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定是否在 Fusion 检测中启用或禁用源信号下的此源子类型。 | 需要 bool () |
| severityFilters | 融合检测中使用的源子类型的严重性配置。 | FusionSubTypeSeverityFilter (必需) |
| sourceSubTypeName | Fusion 检测中给定源信号下的源子类型的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
FusionSubTypeSeverityFilter
| 名称 | 说明 | 值 |
|---|---|---|
| 筛选器 | Fusion 检测中使用的给定源子类型的单个严重性配置设置。 | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定对于 Fusion 检测中使用的此源子类型,是启用或禁用此严重性。 | 需要 bool () |
| severity | Fusion 检测中使用的给定源子类型的严重性。 | “High” “Informational” 'Low' “中等” (必需) |
MicrosoftSecurityIncidentCreationAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “MicrosoftSecurityIncidentCreation” (必需) |
| properties | MicrosoftSecurityIncidentCreation 规则属性 | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| displayNamesExcludeFilter | 不会生成事例的警报的 displayNames | string[] |
| displayNamesFilter | 将生成事例的警报的 displayNames | string[] |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| productFilter | 将生成事例的警报的 productName | “Azure Active Directory 标识保护” “Azure 高级威胁防护” “Azure 安全中心 for IoT” “Azure 安全中心” “Microsoft Cloud App Security” “Microsoft Defender高级威胁防护” 需要“Office 365高级威胁防护” () |
| severitiesFilter | 将生成事例的警报的严重性 | 包含任何一项的字符串数组: “High” “Informational” 'Low' 'Medium' |
MLBehaviorAnalyticsAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“MLBehaviorAnalytics” () |
| properties | MLBehaviorAnalytics 警报规则属性 | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
NrtAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “NRT” (必需) |
| properties | NRT 警报规则属性 | NrtAlertRuleProperties |
NrtAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | 字符串 |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | 字符串 (必需) |
| severity | 此警报规则创建的警报的严重性。 | “High” “Informational” 'Low' “中等” (必需) |
| suppressionDuration | ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | 需要 bool () |
| 策略 | 警报规则的策略 | 包含任何一项的字符串数组: 'Collection' 'CommandAndControl' 'CredentialAccess' “DefenseEvasion” 'Discovery' “Execution” “外泄” 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' “InitialAccess” “LateralMovement” “持久性” “PreAttack” “PrivilegeEscalation” “侦查” “资源开发” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板的版本 - 格式为 {a.b.c},其中所有都是数字,例如 0 {1.0.2} | 字符串 |
AlertDetailsOverride
| 名称 | 说明 | 值 |
|---|---|---|
| alertDescriptionFormat | 包含列名称 () 以替代警报说明的格式 | 字符串 |
| alertDisplayNameFormat | 包含列名称的格式 () 来替代警报名称 | 字符串 |
| alertSeverityColumnName | 要从中获取警报严重性的列名 | 字符串 |
| alertTacticsColumnName | 要从中获取警报策略的列名称 | 字符串 |
EntityMapping
| 名称 | 说明 | 值 |
|---|---|---|
| entityType | 映射实体的 V3 类型 | “帐户” “AzureResource” “CloudApplication” “DNS” “文件” 'FileHash' “Host” “IP” 'MailCluster' “MailMessage” “Mailbox” “恶意软件” “Process” “RegistryKey” “RegistryValue” “SecurityGroup” “SubmissionMail” “URL” |
| fieldMappings | 给定实体映射的字段映射数组 | FieldMapping[] |
FieldMapping
| 名称 | 说明 | 值 |
|---|---|---|
| columnName | 要映射到标识符的列名 | 字符串 |
| 标识符 | 实体的 V3 标识符 | 字符串 |
IncidentConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| createIncident | 根据此分析规则触发的警报创建事件 | bool (必需) |
| groupingConfiguration | 设置此分析规则触发的警报如何分组到事件中 | GroupingConfiguration |
GroupingConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 已启用分组 | bool (必需) |
| groupByAlertDetails | 匹配的“已选择方法”时按 (分组的警报详细信息列表) | 包含任意项的字符串数组: “DisplayName” “严重性” |
| groupByCustomDetails | 当匹配Method 为 Selected) 时,按 (分组的自定义详细信息键列表。 只能使用当前警报规则中定义的密钥。 | string[] |
| groupByEntities | 当匹配Method 为 Selected) 时,按 (分组的实体类型的列表。 只能使用当前警报规则中定义的实体。 | 包含任意项的字符串数组: “帐户” “AzureResource” “CloudApplication” “DNS” 'File' 'FileHash' 'Host' 'IP' 'MailCluster' 'MailMessage' “Mailbox” 'Malware' “Process” “RegistryKey” 'RegistryValue' “SecurityGroup” “SubmissionMail” 'URL' |
| lookbackDuration | 将组限制为在 iso 8601 持续时间格式的回溯持续时间 (创建的警报) | 字符串 (必需) |
| matchingMethod | 分组匹配方法。 当方法为 Selected 至少一个 groupByEntities 时,必须提供 groupByAlertDetails、groupByCustomDetails 且不能为空。 | “AllEntities” 'AnyAlert' “Selected” (必需) |
| reopenClosedIncident | 重新打开已关闭的匹配事件 | 需要 bool () |
ScheduledAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “Scheduled” (必需) |
| properties | 计划的警报规则属性 | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | string |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| eventGroupingSettings | 事件分组设置。 | EventGroupingSettings |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | 字符串 |
| queryFrequency | ) 运行此警报规则的频率 (ISO 8601 持续时间格式。 | 字符串 |
| queryPeriod | 此警报规则) 以 ISO 8601 持续时间格式 (时间段。 | 字符串 |
| severity | 此警报规则创建的警报的严重性。 | “High” “Informational” 'Low' 'Medium' |
| suppressionDuration | ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | 需要 bool () |
| 策略 | 警报规则的策略 | 包含任何一项的字符串数组: 'Collection' 'CommandAndControl' 'CredentialAccess' “DefenseEvasion” 'Discovery' “Execution” “外泄” 'Impact' 'ImpairProcessControl' 'InhibitResponseFunction' “InitialAccess” “LateralMovement” “持久性” “PreAttack” “PrivilegeEscalation” “侦查” “资源开发” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板的版本 - 格式为 {a.b.c},其中所有都是数字,例如 0 {1.0.2} | string |
| triggerOperator | 针对触发警报规则的阈值执行的操作。 | “Equal” “GreaterThan” “LessThan” “NotEqual” |
| triggerThreshold | 阈值触发此警报规则。 | int |
EventGroupingSettings
| 名称 | 说明 | 值 |
|---|---|---|
| aggregationKind | 事件分组聚合类型 | 'AlertPerResult' “SingleAlert” |
ThreatIntelligenceAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “ThreatIntelligence” (必需的) |
| properties | 威胁智能警报规则属性 | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用或禁用此警报规则。 | bool (必需) |
快速入门模板
以下快速入门模板部署此资源类型。
| 模板 | 说明 |
|---|---|
| 创建新的 Microsoft Sentinel 计划分析规则 |
此示例演示如何在 Microsoft Sentinel 中创建新的计划分析规则 |
Terraform (AzAPI 提供程序) 资源定义
alertRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
parent_id使用此资源上的 属性可设置此资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/alertRules 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/alertRules@2022-04-01-preview"
name = "string"
parent_id = "string"
// For remaining properties, see alertRules objects
body = jsonencode({
kind = "string"
etag = "string"
})
}
alertRules 对象
设置 kind 属性以指定对象的类型。
对于 Fusion,请使用:
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
scenarioExclusionPatterns = [
{
dateAddedInUTC = "string"
exclusionPattern = "string"
}
]
sourceSettings = [
{
enabled = bool
sourceName = "string"
sourceSubTypes = [
{
enabled = bool
severityFilters = {
filters = [
{
enabled = bool
severity = "string"
}
]
}
sourceSubTypeName = "string"
}
]
}
]
}
对于 MicrosoftSecurityIncidentCreation,请使用:
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
对于 MLBehaviorAnalytics,请使用:
kind = "MLBehaviorAnalytics"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
对于 NRT,请使用:
kind = "NRT"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
}
对于 “计划”,请使用:
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
对于 ThreatIntelligence,请使用:
kind = "ThreatIntelligence"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
属性值
alertRules
| 名称 | 说明 | Value |
|---|---|---|
| type | 资源类型 | “Microsoft.SecurityInsights/alertRules@2022-04-01-preview” |
| name | 资源名称 | 字符串 (必需) |
| parent_id | 要向其应用此扩展资源的资源的 ID。 | 字符串 (必需) |
| kind | 设置对象类型 | 合成 MicrosoftSecurityIncidentCreation MLBehaviorAnalytics NRT 计划 需要 ThreatIntelligence () |
| etag | Azure 资源的 Etag | string |
FusionAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “Fusion” (必需) |
| properties | 融合警报规则属性 | FusionAlertRuleProperties |
FusionAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用或禁用此警报规则。 | bool (必需) |
| scenarioExclusionPatterns | 配置以排除融合检测中的方案。 | FusionScenarioExclusionPattern[] |
| sourceSettings | 融合检测中所有支持的源信号的配置。 | FusionSourceSettings[] |
FusionScenarioExclusionPattern
| 名称 | 说明 | 值 |
|---|---|---|
| dateAddedInUTC | 在 UTC 中添加方案排除模式时的 DateTime。 | 字符串 (必需) |
| exclusionPattern | 方案排除模式。 | 字符串 (必需) |
FusionSourceSettings
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定在 Fusion 检测中是启用还是禁用此源信号。 | bool (必需) |
| sourceName | Fusion 源信号的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
| sourceSubTypes | 此源信号下在融合检测中使用的所有源子类型的配置。 | FusionSourceSubTypeSetting[] |
FusionSourceSubTypeSetting
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定在 Fusion 检测中是启用还是禁用源信号下的此源子类型。 | bool (必需) |
| severityFilters | 融合检测中使用的源子类型的严重性配置。 | FusionSubTypeSeverityFilter (必需) |
| sourceSubTypeName | 融合检测中给定源信号下的源子类型的名称。 有关支持的值,请参阅 Fusion 警报规则模板。 | 字符串 (必需) |
FusionSubTypeSeverityFilter
| 名称 | 说明 | 值 |
|---|---|---|
| 筛选器 | 在 Fusion 检测中使用的给定源子类型的单个严重性配置设置。 | FusionSubTypeSeverityFiltersItem[] |
FusionSubTypeSeverityFiltersItem
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 确定是否为 Fusion 检测中使用的此源子类型启用或禁用此严重性。 | bool (必需) |
| severity | 在融合检测中使用的给定源子类型的严重性。 | "High" “Informational” "Low" 需要“中等” () |
MicrosoftSecurityIncidentCreationAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “MicrosoftSecurityIncidentCreation” (必需) |
| properties | MicrosoftSecurityIncidentCreation 规则属性 | MicrosoftSecurityIncidentCreationAlertRuleProperties |
MicrosoftSecurityIncidentCreationAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | string |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| displayNamesExcludeFilter | 不会生成事例的警报的 displayNames | string[] |
| displayNamesFilter | 将生成事例的警报的 displayNames | string[] |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| productFilter | 将生成事例的警报的 productName | “Azure Active Directory 标识保护” “Azure 高级威胁防护” “Azure 安全中心 for IoT” “Azure 安全中心” “Microsoft Cloud App Security” “Microsoft Defender高级威胁防护” 需要“Office 365高级威胁防护” () |
| severitiesFilter | 将生成事例的警报的严重性 | 包含任何一项的字符串数组: "High" “Informational” "Low" “Medium” |
MLBehaviorAnalyticsAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “MLBehaviorAnalytics” (必需) |
| properties | MLBehaviorAnalytics 警报规则属性 | MLBehaviorAnalyticsAlertRuleProperties |
MLBehaviorAnalyticsAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
NrtAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“NRT” () |
| properties | NRT 警报规则属性 | NrtAlertRuleProperties |
NrtAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | string |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用还是禁用此警报规则。 | 需要 bool () |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | 字符串 (必需) |
| severity | 此警报规则创建的警报的严重性。 | "High" “Informational” "Low" 需要“中等” () |
| suppressionDuration | ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | 需要 bool () |
| 策略 | 警报规则的策略 | 包含任何一项的字符串数组: “Collection” “CommandAndControl” “CredentialAccess” “DefenseEvasion” “发现” “Execution” “外泄” “影响” “ImpairProcessControl” “InhibitResponseFunction” “InitialAccess” “LateralMovement” “持久性” “PreAttack” “PrivilegeEscalation” “侦查” “ResourceDevelopment” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板版本 - 格式为 {a.b.c},其中全部为数字,例如 0 {1.0.2} | string |
AlertDetailsOverride
| 名称 | 说明 | 值 |
|---|---|---|
| alertDescriptionFormat | 包含列名称 () 的格式,用于替代警报说明 | string |
| alertDisplayNameFormat | 包含列名称的格式, () 替代警报名称 | string |
| alertSeverityColumnName | 要从中获取警报严重性的列名称 | string |
| alertTacticsColumnName | 要从中获取警报策略的列名称 | string |
EntityMapping
| 名称 | 说明 | 值 |
|---|---|---|
| entityType | 映射实体的 V3 类型 | “帐户” “AzureResource” “CloudApplication” "DNS" “文件” “FileHash” “Host” “IP” “MailCluster” “MailMessage” “Mailbox” “恶意软件” “Process” “RegistryKey” “RegistryValue” "SecurityGroup" “SubmissionMail” “URL” |
| fieldMappings | 给定实体映射的字段映射数组 | FieldMapping[] |
FieldMapping
| 名称 | 说明 | 值 |
|---|---|---|
| columnName | 要映射到标识符的列名 | string |
| 标识符 | 实体的 V3 标识符 | string |
IncidentConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| createIncident | 根据此分析规则触发的警报创建事件 | 需要 bool () |
| groupingConfiguration | 设置此分析规则触发的警报如何分组到事件中 | GroupingConfiguration |
GroupingConfiguration
| 名称 | 说明 | 值 |
|---|---|---|
| enabled | 已启用分组 | 需要 bool () |
| groupByAlertDetails | 当 matchingMethod 为 Selected 时按 (分组的警报详细信息列表) | 包含任意项的字符串数组: “DisplayName” “严重性” |
| groupByCustomDetails | 当匹配Method 为 Selected) 时,按 (分组的自定义详细信息键列表。 只能使用当前警报规则中定义的密钥。 | string[] |
| groupByEntities | 当匹配Method 为 Selected) 时,按 (分组的实体类型的列表。 只能使用当前警报规则中定义的实体。 | 包含任意项的字符串数组: “帐户” “AzureResource” “CloudApplication” "DNS" “文件” “FileHash” “主机” “IP” “MailCluster” “MailMessage” “Mailbox” “恶意软件” “Process” “RegistryKey” “RegistryValue” "SecurityGroup" “提交邮件” “URL” |
| lookbackDuration | 将组限制为在 iso 8601 持续时间格式的回溯持续时间 (创建的警报) | 字符串 (必需) |
| matchingMethod | 分组匹配方法。 当方法为“选择至少一个 groupByEntities”时,必须提供 groupByAlertDetails、groupByCustomDetails,而不是空的。 | “AllEntities” “AnyAlert” “Selected” (必需) |
| reopenClosedIncident | 重新打开已关闭的匹配事件 | bool (必需) |
ScheduledAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | “Scheduled” (必需) |
| properties | 计划的警报规则属性 | ScheduledAlertRuleProperties |
ScheduledAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertDetailsOverride | 警报详细信息替代设置 | AlertDetailsOverride |
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | string |
| customDetails | 要附加到警报的列的字符串键值对字典 | object |
| description | 警报规则的说明。 | string |
| displayName | 此警报规则创建的警报的显示名称。 | 字符串 (必需) |
| enabled | 确定是启用或禁用此警报规则。 | bool (必需) |
| entityMappings | 警报规则的实体映射数组 | EntityMapping[] |
| eventGroupingSettings | 事件分组设置。 | EventGroupingSettings |
| incidentConfiguration | 通过此分析规则触发的警报创建的事件的设置 | IncidentConfiguration |
| query | 为此规则创建警报的查询。 | string |
| queryFrequency | ) 运行此警报规则的频率 (ISO 8601 持续时间格式。 | string |
| queryPeriod | 此警报规则) 以 ISO 8601 持续时间格式 (时间段。 | string |
| severity | 此警报规则创建的警报的严重性。 | "High" “Informational” "Low" “中” |
| suppressionDuration | 自上次触发此警报规则以来,ISO 8601 持续时间格式的抑制 () 等待。 | 字符串 (必需) |
| suppressionEnabled | 确定是启用或禁用此警报规则的抑制。 | bool (必需) |
| 策略 | 警报规则的策略 | 包含任意项的字符串数组: “集合” “CommandAndControl” “CredentialAccess” “DefenseEvasion” “发现” “执行” “外泄” “影响” “ImpairProcessControl” “InhibitResponseFunction” “InitialAccess” “LateralMovement” “持久性” “PreAttack” “PrivilegeEscalation” “侦查” “资源开发” |
| 技术 | 警报规则的技术 | string[] |
| templateVersion | 用于创建此规则的警报规则模板的版本 - 格式为 {a.b.c},其中所有都是数字,例如 0 {1.0.2} | string |
| triggerOperator | 针对触发警报规则的阈值执行的操作。 | “Equal” “GreaterThan” “LessThan” “NotEqual” |
| triggerThreshold | 阈值触发此警报规则。 | int |
EventGroupingSettings
| 名称 | 说明 | 值 |
|---|---|---|
| aggregationKind | 事件分组聚合类型 | “AlertPerResult” “SingleAlert” |
ThreatIntelligenceAlertRule
| 名称 | 说明 | 值 |
|---|---|---|
| kind | 警报规则的类型 | 需要“ThreatIntelligence” () |
| properties | 威胁智能警报规则属性 | ThreatIntelligenceAlertRuleProperties |
ThreatIntelligenceAlertRuleProperties
| 名称 | 说明 | 值 |
|---|---|---|
| alertRuleTemplateName | 用于创建此规则的警报规则模板的名称。 | 字符串 (必需) |
| enabled | 确定是启用或禁用此警报规则。 | bool (必需) |