你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft.SecurityInsights automationRules 2022-07-01-preview
- 最新
- 2023-02-01-preview
- 2022-12-01-preview
- 2022-11-01
- 2022-11-01-preview
- 2022-10-01-preview
- 2022-09-01-preview
- 2022 年 8 月 1 日
- 2022-08-01-preview
- 2022-07-01-preview
- 2022-06-01-preview
- 2022-05-01-preview
- 2022-04-01-preview
- 2022-01-01-preview
- 2021-10-01
- 2021-10-01-preview
- 2021-09-01-preview
- 2019-01-01-preview
Bicep 资源定义
automationRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
scope
使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.SecurityInsights/automationRules@2022-07-01-preview' = {
name: 'string'
scope: resourceSymbolicName
etag: 'string'
properties: {
actions: [
{
order: int
actionType: 'string'
// For remaining properties, see AutomationRuleAction objects
}
]
displayName: 'string'
order: int
triggeringLogic: {
conditions: [
{
conditionType: 'string'
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc: 'string'
isEnabled: bool
triggersOn: 'string'
triggersWhen: 'string'
}
}
}
AutomationRuleAction 对象
设置 actionType 属性以指定对象的类型。
对于 ModifyProperties,请使用:
actionType: 'ModifyProperties'
actionConfiguration: {
classification: 'string'
classificationComment: 'string'
classificationReason: 'string'
labels: [
{
labelName: 'string'
}
]
owner: {
assignedTo: 'string'
email: 'string'
objectId: 'string'
ownerType: 'string'
userPrincipalName: 'string'
}
severity: 'string'
status: 'string'
}
对于 RunPlaybook,请使用:
actionType: 'RunPlaybook'
actionConfiguration: {
logicAppResourceId: 'string'
tenantId: 'string'
}
AutomationRuleCondition 对象
设置 conditionType 属性以指定对象的类型。
对于 “属性”,请使用:
conditionType: 'Property'
conditionProperties: {
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
对于 PropertyArrayChanged,请使用:
conditionType: 'PropertyArrayChanged'
conditionProperties: {
arrayType: 'string'
changeType: 'Added'
}
对于 PropertyChanged,请使用:
conditionType: 'PropertyChanged'
conditionProperties: {
changeType: 'string'
operator: 'string'
propertyName: 'string'
propertyValues: [
'string'
]
}
属性值
automationRules
名称 | 说明 | 值 |
---|---|---|
name | 资源名称 | 字符串 (必需) |
scope | 在与部署范围不同的范围创建扩展资源时使用 。 | 目标资源 对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源。 |
etag | Azure 资源的 Etag | string |
properties | 自动化规则属性 | AutomationRuleProperties (必需) |
AutomationRuleProperties
名称 | 说明 | 值 |
---|---|---|
actions | 触发自动化规则时要执行的操作。 | AutomationRuleAction[] (必需的) |
displayName | 自动化规则的显示名称。 | 字符串 (必需) |
顺序 | 自动化规则的执行顺序。 | int (必需) |
triggeringLogic | 介绍自动化规则触发逻辑。 | 需要 AutomationRuleTriggeringLogic () |
AutomationRuleAction
名称 | 说明 | 值 |
---|---|---|
顺序 | int (必需) | |
actionType | 设置对象类型 | ModifyProperties RunPlaybook (必需) |
AutomationRuleModifyPropertiesAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | “ModifyProperties” (必需) |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
名称 | 说明 | 值 |
---|---|---|
分类 | 事件被关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因。 | string |
classificationReason | 事件被关闭的分类原因 | “不准确的数据” “IncorrectAlertLogic” “SuspiciousActivity” “SuspiciousButExpected” |
标签 | 要添加到事件的标签列表。 | IncidentLabel[] |
owner | 有关事件分配到的用户的信息 | IncidentOwnerInfo |
severity | 事件的严重性 | “高” “Informational” “低” “中” |
status | 事件的状态 | “Active” “已关闭” “新建” |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | “组” “未知” “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
AutomationRuleRunPlaybookAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | “RunPlaybook” (必需) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
名称 | 说明 | 值 |
---|---|---|
logicAppResourceId | playbook 资源的资源 ID。 | string |
tenantId | playbook 资源的租户 ID。 | string |
AutomationRuleTriggeringLogic
名称 | 说明 | 值 |
---|---|---|
条件 | 要评估的条件,以确定是否应在给定对象上触发自动化规则。 | AutomationRuleCondition[] |
expirationTimeUtc | 确定自动化规则何时自动过期并被禁用。 | string |
isEnabled | 确定是启用或禁用自动化规则。 | bool (必需) |
triggersOn | “警报” 需要“事件” () |
|
triggersWhen | “已创建” “已更新” (必需) |
AutomationRuleCondition
名称 | 说明 | 值 |
---|---|---|
conditionType | 设置对象类型 | 属性 PropertyArrayChanged PropertyChanged (必需) |
PropertyConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “属性” (必需) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
名称 | 说明 | 值 |
---|---|---|
运算符后的表达式 | “Contains” “EndsWith” “Equals” “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” “StartsWith” |
|
propertyName | 在自动化规则属性条件中要评估的属性。 | “AccountAadTenantId” “AccountAadUserId” “AccountNTDomain” “AccountName” “AccountObjectGuid” “AccountPUID” “AccountSid” “AccountUPNSuffix” “AlertAnalyticRuleIds” 'AlertProductNames' “AzureResourceResourceId” “AzureResourceSubscriptionId” “CloudApplicationAppId” “CloudApplicationAppName” “DNSDomainName” “FileDirectory” “FileHashValue” “FileName” “HostAzureID” “HostNTDomain” “HostName” “HostNetBiosName” “HostOSVersion” “IPAddress” “IncidentDescription” “IncidentLabel” “IncidentProviderName” “IncidentRelatedAnalyticRuleIds” “IncidentSeverity” “IncidentStatus” “IncidentTactics” “IncidentTitle” “IoTDeviceId” “IoTDeviceModel” “IoTDeviceName” “IoTDeviceOperatingSystem” “IoTDeviceType” “IoTDeviceVendor” 'MailMessageDeliveryAction' “MailMessageDeliveryLocation” 'MailMessageP1Sender' “MailMessageP2Sender” “MailMessageRecipient” “MailMessageSenderIP” 'MailMessageSubject' “MailboxDisplayName” 'MailboxPrimaryAddress' “MailboxUPN” “MalwareCategory” “MalwareName” “ProcessCommandLine” “ProcessId” “RegistryKey” “RegistryValueData” “Url” |
propertyValues | string[] |
PropertyArrayChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyArrayChanged” (必需) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
名称 | 说明 | 值 |
---|---|---|
arrayType | “警报” “注释” “标签” “策略” |
|
changeType | 'Added' |
PropertyChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyChanged” (必需) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
名称 | 说明 | 值 |
---|---|---|
changeType | “ChangedFrom” “ChangedTo” |
|
运算符后的表达式 | “Contains” 'EndsWith' 'Equals' “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” 'StartsWith' |
|
propertyName | “IncidentOwner” “IncidentSeverity” “IncidentStatus” |
|
propertyValues | string[] |
快速入门模板
以下快速入门模板部署此资源类型。
模板 | 说明 |
---|---|
创建新的 Microsoft Sentinel 自动化规则 |
此示例演示如何在 Microsoft Sentinel 中创建新的自动化规则 |
ARM 模板资源定义
automationRules 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。
scope
使用此资源上的 属性可设置此资源的作用域。 请参阅 在 ARM 模板中设置扩展资源的范围。
有关每个 API 版本中已更改属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 JSON 添加到模板。
{
"type": "Microsoft.SecurityInsights/automationRules",
"apiVersion": "2022-07-01-preview",
"name": "string",
"scope": "string",
"etag": "string",
"properties": {
"actions": [
{
"order": "int",
"actionType": "string"
// For remaining properties, see AutomationRuleAction objects
}
],
"displayName": "string",
"order": "int",
"triggeringLogic": {
"conditions": [
{
"conditionType": "string"
// For remaining properties, see AutomationRuleCondition objects
}
],
"expirationTimeUtc": "string",
"isEnabled": "bool",
"triggersOn": "string",
"triggersWhen": "string"
}
}
}
AutomationRuleAction 对象
设置 actionType 属性以指定对象的类型。
对于 ModifyProperties,请使用:
"actionType": "ModifyProperties",
"actionConfiguration": {
"classification": "string",
"classificationComment": "string",
"classificationReason": "string",
"labels": [
{
"labelName": "string"
}
],
"owner": {
"assignedTo": "string",
"email": "string",
"objectId": "string",
"ownerType": "string",
"userPrincipalName": "string"
},
"severity": "string",
"status": "string"
}
对于 RunPlaybook,请使用:
"actionType": "RunPlaybook",
"actionConfiguration": {
"logicAppResourceId": "string",
"tenantId": "string"
}
AutomationRuleCondition 对象
设置 conditionType 属性以指定对象的类型。
对于 “属性”,请使用:
"conditionType": "Property",
"conditionProperties": {
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
对于 PropertyArrayChanged,请使用:
"conditionType": "PropertyArrayChanged",
"conditionProperties": {
"arrayType": "string",
"changeType": "Added"
}
对于 PropertyChanged,请使用:
"conditionType": "PropertyChanged",
"conditionProperties": {
"changeType": "string",
"operator": "string",
"propertyName": "string",
"propertyValues": [ "string" ]
}
属性值
automationRules
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | 'Microsoft.SecurityInsights/automationRules' |
apiVersion | 资源 API 版本 | '2022-07-01-preview' |
name | 资源名称 | 字符串 (必需) |
scope | 在不同于部署范围的范围创建扩展资源时使用 。 | 目标资源 对于 JSON,请将值设置为要向其应用 扩展资源的资源 的全名。 |
etag | Azure 资源的 Etag | string |
properties | 自动化规则属性 | AutomationRuleProperties (必需的) |
AutomationRuleProperties
名称 | 说明 | 值 |
---|---|---|
actions | 触发自动化规则时要执行的操作。 | AutomationRuleAction[] (必需的) |
displayName | 自动化规则的显示名称。 | 字符串 (必需) |
顺序 | 自动化规则的执行顺序。 | int (必需) |
triggeringLogic | 介绍自动化规则触发逻辑。 | 需要 AutomationRuleTriggeringLogic () |
AutomationRuleAction
名称 | 说明 | 值 |
---|---|---|
顺序 | int (必需) | |
actionType | 设置对象类型 | ModifyProperties RunPlaybook (必需) |
AutomationRuleModifyPropertiesAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | 需要“ModifyProperties” () |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
名称 | 说明 | 值 |
---|---|---|
分类 | 事件关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因。 | string |
classificationReason | 事件结束的分类原因 | “不准确的数据” 'IncorrectAlertLogic' 'SuspiciousActivity' 'SuspiciousButExpected' |
标签 | 要添加到事件的标签列表。 | IncidentLabel[] |
owner | 有关事件分配到的用户的信息 | IncidentOwnerInfo |
severity | 事件的严重性 | “High” “Informational” 'Low' 'Medium' |
status | 事件的状态 | 'Active' “已关闭” “新建” |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | 'Group' “未知” “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
AutomationRuleRunPlaybookAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | “RunPlaybook” (必需) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
名称 | 说明 | 值 |
---|---|---|
logicAppResourceId | playbook 资源的资源 ID。 | string |
tenantId | playbook 资源的租户 ID。 | string |
AutomationRuleTriggeringLogic
名称 | 说明 | 值 |
---|---|---|
条件 | 要评估的条件,以确定是否应在给定对象上触发自动化规则。 | AutomationRuleCondition[] |
expirationTimeUtc | 确定自动化规则何时自动过期并被禁用。 | string |
isEnabled | 确定是启用或禁用自动化规则。 | bool (必需) |
triggersOn | “警报” 需要“事件” () |
|
triggersWhen | “已创建” “已更新” (必需) |
AutomationRuleCondition
名称 | 说明 | 值 |
---|---|---|
conditionType | 设置对象类型 | 属性 PropertyArrayChanged PropertyChanged (必需) |
PropertyConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “属性” (必需) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
名称 | 说明 | 值 |
---|---|---|
运算符后的表达式 | “Contains” “EndsWith” “Equals” “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” “StartsWith” |
|
propertyName | 在自动化规则属性条件中要评估的属性。 | “AccountAadTenantId” “AccountAadUserId” “AccountNTDomain” “AccountName” “AccountObjectGuid” “AccountPUID” “AccountSid” “AccountUPNSuffix” “AlertAnalyticRuleIds” 'AlertProductNames' “AzureResourceResourceId” “AzureResourceSubscriptionId” “CloudApplicationAppId” “CloudApplicationAppName” “DNSDomainName” “FileDirectory” “FileHashValue” “FileName” “HostAzureID” “HostNTDomain” “HostName” “HostNetBiosName” “HostOSVersion” “IPAddress” “IncidentDescription” “IncidentLabel” “IncidentProviderName” “IncidentRelatedAnalyticRuleIds” “IncidentSeverity” “IncidentStatus” “IncidentTactics” “IncidentTitle” “IoTDeviceId” “IoTDeviceModel” “IoTDeviceName” “IoTDeviceOperatingSystem” “IoTDeviceType” “IoTDeviceVendor” 'MailMessageDeliveryAction' “MailMessageDeliveryLocation” 'MailMessageP1Sender' “MailMessageP2Sender” “MailMessageRecipient” “MailMessageSenderIP” 'MailMessageSubject' “MailboxDisplayName” 'MailboxPrimaryAddress' “MailboxUPN” “MalwareCategory” “MalwareName” “ProcessCommandLine” “ProcessId” “RegistryKey” “RegistryValueData” “Url” |
propertyValues | string[] |
PropertyArrayChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyArrayChanged” (必需) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
名称 | 说明 | 值 |
---|---|---|
arrayType | “警报” “注释” “标签” “策略” |
|
changeType | “已添加” |
PropertyChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyChanged” (必需) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
名称 | 说明 | 值 |
---|---|---|
changeType | “ChangedFrom” “ChangedTo” |
|
运算符后的表达式 | “Contains” “EndsWith” “Equals” “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” “StartsWith” |
|
propertyName | “IncidentOwner” “IncidentSeverity” “IncidentStatus” |
|
propertyValues | string[] |
快速入门模板
以下快速入门模板部署此资源类型。
模板 | 说明 |
---|---|
创建新的 Microsoft Sentinel 自动化规则 |
此示例演示如何在 Microsoft Sentinel 中创建新的自动化规则 |
Terraform (AzAPI 提供程序) 资源定义
automationRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。
parent_id
使用此资源上的 属性可设置此资源的范围。
有关每个 API 版本中更改的属性的列表,请参阅 更改日志。
资源格式
若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 Terraform 添加到模板。
resource "azapi_resource" "symbolicname" {
type = "Microsoft.SecurityInsights/automationRules@2022-07-01-preview"
name = "string"
parent_id = "string"
body = jsonencode({
properties = {
actions = [
{
order = int
actionType = "string"
// For remaining properties, see AutomationRuleAction objects
}
]
displayName = "string"
order = int
triggeringLogic = {
conditions = [
{
conditionType = "string"
// For remaining properties, see AutomationRuleCondition objects
}
]
expirationTimeUtc = "string"
isEnabled = bool
triggersOn = "string"
triggersWhen = "string"
}
}
etag = "string"
})
}
AutomationRuleAction 对象
设置 actionType 属性以指定对象的类型。
对于 ModifyProperties,请使用:
actionType = "ModifyProperties"
actionConfiguration = {
classification = "string"
classificationComment = "string"
classificationReason = "string"
labels = [
{
labelName = "string"
}
]
owner = {
assignedTo = "string"
email = "string"
objectId = "string"
ownerType = "string"
userPrincipalName = "string"
}
severity = "string"
status = "string"
}
对于 RunPlaybook,请使用:
actionType = "RunPlaybook"
actionConfiguration = {
logicAppResourceId = "string"
tenantId = "string"
}
AutomationRuleCondition 对象
设置 conditionType 属性以指定对象的类型。
对于 “属性”,请使用:
conditionType = "Property"
conditionProperties = {
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
对于 PropertyArrayChanged,请使用:
conditionType = "PropertyArrayChanged"
conditionProperties = {
arrayType = "string"
changeType = "Added"
}
对于 PropertyChanged,请使用:
conditionType = "PropertyChanged"
conditionProperties = {
changeType = "string"
operator = "string"
propertyName = "string"
propertyValues = [
"string"
]
}
属性值
automationRules
名称 | 说明 | Value |
---|---|---|
type | 资源类型 | “Microsoft.SecurityInsights/automationRules@2022-07-01-preview” |
name | 资源名称 | 字符串 (必需) |
parent_id | 要向其应用此扩展资源的资源的 ID。 | 字符串 (必需) |
etag | Azure 资源的 Etag | string |
properties | 自动化规则属性 | AutomationRuleProperties (必需) |
AutomationRuleProperties
名称 | 说明 | 值 |
---|---|---|
actions | 触发自动化规则时要执行的操作。 | AutomationRuleAction[] (必需的) |
displayName | 自动化规则的显示名称。 | 字符串 (必需) |
顺序 | 自动化规则的执行顺序。 | int (必需) |
triggeringLogic | 介绍自动化规则触发逻辑。 | 需要 AutomationRuleTriggeringLogic () |
AutomationRuleAction
名称 | 说明 | 值 |
---|---|---|
顺序 | int (必需) | |
actionType | 设置对象类型 | ModifyProperties RunPlaybook (必需) |
AutomationRuleModifyPropertiesAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | “ModifyProperties” (必需) |
actionConfiguration | IncidentPropertiesAction |
IncidentPropertiesAction
名称 | 说明 | 值 |
---|---|---|
分类 | 事件关闭的原因 | “BenignPositive” “FalsePositive” “TruePositive” “未确定” |
classificationComment | 描述关闭事件的原因。 | string |
classificationReason | 事件结束的分类原因 | “不准确的数据” “IncorrectAlertLogic” “SuspiciousActivity” “SuspiciousButExpected” |
标签 | 要添加到事件的标签列表。 | IncidentLabel[] |
owner | 有关事件分配到的用户的信息 | IncidentOwnerInfo |
severity | 事件的严重性 | "High" “Informational” "Low" “Medium” |
status | 事件的状态 | “Active” "Closed" “新建” |
IncidentLabel
名称 | 说明 | 值 |
---|---|---|
labelName | 标签的名称 | 字符串 (必需) |
IncidentOwnerInfo
名称 | 说明 | 值 |
---|---|---|
assignedTo | 事件分配到的用户的名称。 | string |
电子邮件 | 事件分配到的用户的电子邮件。 | string |
objectId | 事件分配到的用户的对象 ID。 | string |
ownerType | 事件分配到的所有者的类型。 | “Group” "Unknown" “User” |
userPrincipalName | 事件分配到的用户的用户主体名称。 | string |
AutomationRuleRunPlaybookAction
名称 | 说明 | 值 |
---|---|---|
actionType | 自动化规则操作的类型。 | “RunPlaybook” (必需) |
actionConfiguration | PlaybookActionProperties |
PlaybookActionProperties
名称 | 说明 | 值 |
---|---|---|
logicAppResourceId | playbook 资源的资源 ID。 | string |
tenantId | playbook 资源的租户 ID。 | string |
AutomationRuleTriggeringLogic
名称 | 说明 | 值 |
---|---|---|
条件 | 要评估的条件,以确定是否应在给定对象上触发自动化规则。 | AutomationRuleCondition[] |
expirationTimeUtc | 确定自动化规则应何时自动过期并被禁用。 | string |
isEnabled | 确定是启用还是禁用自动化规则。 | 需要 bool () |
triggersOn | “警报” 需要“事件” () |
|
triggersWhen | “Created” 需要“已更新” () |
AutomationRuleCondition
名称 | 说明 | 值 |
---|---|---|
conditionType | 设置对象类型 | 属性 PropertyArrayChanged PropertyChanged (必需) |
PropertyConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “属性” (必需) | |
conditionProperties | AutomationRulePropertyValuesCondition |
AutomationRulePropertyValuesCondition
名称 | 说明 | 值 |
---|---|---|
运算符后的表达式 | “Contains” “EndsWith” “Equals” “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” “StartsWith” |
|
propertyName | 在自动化规则属性条件中要计算的属性。 | “AccountAadTenantId” “AccountAadUserId” “AccountNTDomain” “AccountName” “AccountObjectGuid” “AccountPUID” “AccountSid” “AccountUPNSuffix” “AlertAnalyticRuleIds” “AlertProductNames” “AzureResourceResourceId” “AzureResourceSubscriptionId” “CloudApplicationAppId” “CloudApplicationAppName” “DNSDomainName” “FileDirectory” “FileHashValue” “FileName” “HostAzureID” “HostNTDomain” “HostName” “HostNetBiosName” “HostOSVersion” “IPAddress” “IncidentDescription” “IncidentLabel” “IncidentProviderName” “IncidentRelatedAnalyticRuleIds” “IncidentSeverity” “IncidentStatus” “IncidentTactics” “IncidentTitle” “IoTDeviceId” “IoTDeviceModel” “IoTDeviceName” “IoTDeviceOperatingSystem” “IoTDeviceType” “IoTDeviceVendor” “MailMessageDeliveryAction” “MailMessageDeliveryLocation” “MailMessageP1Sender” “MailMessageP2Sender” “MailMessageRecipient” “MailMessageSenderIP” “MailMessageSubject” “MailboxDisplayName” “MailboxPrimaryAddress” “MailboxUPN” “MalwareCategory” “MalwareName” “ProcessCommandLine” “ProcessId” “RegistryKey” “RegistryValueData” “Url” |
propertyValues | string[] |
PropertyArrayChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyArrayChanged” (必需) | |
conditionProperties | AutomationRulePropertyArrayChangedValuesCondition |
AutomationRulePropertyArrayChangedValuesCondition
名称 | 说明 | 值 |
---|---|---|
arrayType | “警报” “注释” “标签” “策略” |
|
changeType | “已添加” |
PropertyChangedConditionProperties
名称 | 说明 | 值 |
---|---|---|
conditionType | “PropertyChanged” (必需的) | |
conditionProperties | AutomationRulePropertyValuesChangedCondition |
AutomationRulePropertyValuesChangedCondition
名称 | 说明 | 值 |
---|---|---|
changeType | “ChangedFrom” “ChangedTo” |
|
运算符后的表达式 | “Contains” “EndsWith” “Equals” “NotContains” “NotEndsWith” “NotEquals” “NotStartsWith” “StartsWith” |
|
propertyName | “IncidentOwner” “IncidentSeverity” “IncidentStatus” |
|
propertyValues | string[] |