通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft.SecurityInsights automationRules 2023-02-01-preview

  • 项目

Bicep 资源定义

automationRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。

scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 Bicep 中设置扩展资源的范围

有关每个 API 版本中更改的属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 Bicep 添加到模板。

resource symbolicname 'Microsoft.SecurityInsights/automationRules@2023-02-01-preview' = {
  name: 'string'
  scope: resourceSymbolicName
  etag: 'string'
  properties: {
    actions: [
      {
        order: int
        actionType: 'string'
        // For remaining properties, see AutomationRuleAction objects
      }
    ]
    displayName: 'string'
    order: int
    triggeringLogic: {
      conditions: [
        {
          conditionType: 'string'
          // For remaining properties, see AutomationRuleCondition objects
        }
      ]
      expirationTimeUtc: 'string'
      isEnabled: bool
      triggersOn: 'string'
      triggersWhen: 'string'
    }
  }
}

AutomationRuleAction 对象

设置 actionType 属性以指定对象的类型。

对于 AddIncidentTask,请使用:

  actionType: 'AddIncidentTask'
  actionConfiguration: {
    description: 'string'
    title: 'string'
  }

对于 ModifyProperties,请使用:

  actionType: 'ModifyProperties'
  actionConfiguration: {
    classification: 'string'
    classificationComment: 'string'
    classificationReason: 'string'
    labels: [
      {
        labelName: 'string'
      }
    ]
    owner: {
      assignedTo: 'string'
      email: 'string'
      objectId: 'string'
      ownerType: 'string'
      userPrincipalName: 'string'
    }
    severity: 'string'
    status: 'string'
  }

对于 RunPlaybook,请使用:

  actionType: 'RunPlaybook'
  actionConfiguration: {
    logicAppResourceId: 'string'
    tenantId: 'string'
  }

AutomationRuleCondition 对象

设置 conditionType 属性以指定对象的类型。

对于 布尔值,请使用:

  conditionType: 'Boolean'
  conditionProperties: {
    innerConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator: 'string'
  }

对于 “属性”,请使用:

  conditionType: 'Property'
  conditionProperties: {
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

对于 PropertyArray,请使用:

  conditionType: 'PropertyArray'
  conditionProperties: {
    arrayConditionType: 'AnyItem'
    arrayType: 'string'
    itemConditions: [
      {
        conditionType: 'string'
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

对于 PropertyArrayChanged,请使用:

  conditionType: 'PropertyArrayChanged'
  conditionProperties: {
    arrayType: 'string'
    changeType: 'Added'
  }

对于 PropertyChanged,请使用:

  conditionType: 'PropertyChanged'
  conditionProperties: {
    changeType: 'string'
    operator: 'string'
    propertyName: 'string'
    propertyValues: [
      'string'
    ]
  }

属性值

automationRules

名称 说明
name 资源名称 字符串 (必需)
scope 在与部署范围不同的范围创建扩展资源时使用 。 目标资源

对于 Bicep,请将此属性设置为资源的符号名称以应用 扩展资源
etag Azure 资源的 Etag string
properties 自动化规则属性 AutomationRuleProperties (必需)

AutomationRuleProperties

名称 说明
actions 触发自动化规则时要执行的操作。 AutomationRuleAction[] (必需的)
displayName 自动化规则的显示名称。 字符串 (必需)
顺序 自动化规则的执行顺序。 int (必需)
triggeringLogic 介绍自动化规则触发逻辑。 需要 AutomationRuleTriggeringLogic ()

AutomationRuleAction

名称 说明
顺序 int (必需)
actionType 设置对象类型 AddIncidentTask
ModifyProperties
RunPlaybook (必需)

AutomationRuleAddIncidentTaskAction

名称 说明
actionType 自动化规则操作的类型。 “AddIncidentTask” (必需)
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

名称 说明
description 任务的描述。 字符串
title 任务的标题。 字符串 (必需)

AutomationRuleModifyPropertiesAction

名称 说明
actionType 自动化规则操作的类型。 “ModifyProperties” (必需)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

名称 说明
分类 事件被关闭的原因 “BenignPositive”
“FalsePositive”
“TruePositive”
“未确定”
classificationComment 描述关闭事件的原因。 字符串
classificationReason 事件被关闭的分类原因 “不准确的数据”
“IncorrectAlertLogic”
“SuspiciousActivity”
“SuspiciousButExpected”
标签 要添加到事件的标签列表。 IncidentLabel[]
owner 有关事件分配到的用户的信息 IncidentOwnerInfo
severity 事件的严重性 “高”
“Informational”
“低”
“中”
status 事件的状态 “Active”
“已关闭”
“新建”

IncidentLabel

名称 说明
labelName 标签的名称 字符串 (必需)

IncidentOwnerInfo

名称 说明
assignedTo 事件分配到的用户的名称。 字符串
电子邮件 事件分配到的用户的电子邮件。 字符串
objectId 事件分配到的用户的对象 ID。 string
ownerType 事件分配到的所有者的类型。 “组”
“未知”
“User”
userPrincipalName 事件分配到的用户的用户主体名称。 字符串

AutomationRuleRunPlaybookAction

名称 说明
actionType 自动化规则操作的类型。 “RunPlaybook” (必需)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

名称 说明
logicAppResourceId playbook 资源的资源 ID。 字符串
tenantId playbook 资源的租户 ID。 字符串

AutomationRuleTriggeringLogic

名称 说明
条件 要评估的条件,以确定是否应在给定对象上触发自动化规则。 AutomationRuleCondition[]
expirationTimeUtc 确定自动化规则何时自动过期并被禁用。 字符串
isEnabled 确定是启用或禁用自动化规则。 bool (必需)
triggersOn “警报”
需要“事件” ()
triggersWhen “已创建”
“已更新” (必需)

AutomationRuleCondition

名称 说明
conditionType 设置对象类型 布尔值
属性
PropertyArray
PropertyArrayChanged
PropertyChanged (必需)

BooleanConditionProperties

名称 说明
conditionType “boolean” (必需)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

名称 说明
innerConditions AutomationRuleCondition[]
运算符后的表达式 “And”
“Or”

PropertyConditionProperties

名称 说明
conditionType “属性” (必需)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

名称 说明
运算符后的表达式 “Contains”
“EndsWith”
“Equals”
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
“StartsWith”
propertyName 在自动化规则属性条件中要评估的属性。 “AccountAadTenantId”
“AccountAadUserId”
“AccountNTDomain”
“AccountName”
“AccountObjectGuid”
“AccountPUID”
“AccountSid”
“AccountUPNSuffix”
“AlertAnalyticRuleIds”
'AlertProductNames'
“AzureResourceResourceId”
“AzureResourceSubscriptionId”
“CloudApplicationAppId”
“CloudApplicationAppName”
“DNSDomainName”
“FileDirectory”
“FileHashValue”
“FileName”
“HostAzureID”
“HostNTDomain”
“HostName”
“HostNetBiosName”
“HostOSVersion”
“IPAddress”
“IncidentCustomDetailsKey”
“IncidentCustomDetailsValue”
“IncidentDescription”
“IncidentLabel”
“IncidentProviderName”
“IncidentRelatedAnalyticRuleIds”
“IncidentSeverity”
“IncidentStatus”
“IncidentTactics”
'IncidentTitle'
“IncidentUpdatedBySource”
“IoTDeviceId”
“IoTDeviceModel”
“IoTDeviceName”
“IoTDeviceOperatingSystem”
“IoTDeviceType”
“IoTDeviceVendor”
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
“MalwareCategory”
'MalwareName'
“ProcessCommandLine”
“ProcessId”
“RegistryKey”
'RegistryValueData'
'Url'
propertyValues string[]

PropertyArrayConditionProperties

名称 说明
conditionType “PropertyArray” (必需)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

名称 说明
arrayConditionType 'AnyItem'
arrayType 'CustomDetailValues'
“CustomDetails”
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

名称 说明
conditionType “PropertyArrayChanged” (必需)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

名称 说明
arrayType 'Alerts'
'Comments'
'Labels'
“策略”
changeType 'Added'

PropertyChangedConditionProperties

名称 说明
conditionType “PropertyChanged” (必需)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

名称 说明
changeType “ChangedFrom”
“ChangedTo”
运算符后的表达式 “Contains”
'EndsWith'
'Equals'
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
'StartsWith'
propertyName “IncidentOwner”
“IncidentSeverity”
“IncidentStatus”
propertyValues string[]

快速入门模板

以下快速入门模板部署此资源类型。

模板 说明
创建新的 Microsoft Sentinel 自动化规则

部署到 Azure		 此示例演示如何在 Microsoft Sentinel 中创建新的自动化规则

ARM 模板资源定义

automationRules 资源类型是 扩展资源,这意味着你可以将其应用于其他资源。

scope使用此资源上的 属性可设置此资源的范围。 请参阅 在 ARM 模板中设置扩展资源的范围

有关每个 API 版本中更改的属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 JSON 添加到模板。

{
  "type": "Microsoft.SecurityInsights/automationRules",
  "apiVersion": "2023-02-01-preview",
  "name": "string",
  "scope": "string",
  "etag": "string",
  "properties": {
    "actions": [
      {
        "order": "int",
        "actionType": "string"
        // For remaining properties, see AutomationRuleAction objects
      }
    ],
    "displayName": "string",
    "order": "int",
    "triggeringLogic": {
      "conditions": [
        {
          "conditionType": "string"
          // For remaining properties, see AutomationRuleCondition objects
        }
      ],
      "expirationTimeUtc": "string",
      "isEnabled": "bool",
      "triggersOn": "string",
      "triggersWhen": "string"
    }
  }
}

AutomationRuleAction 对象

设置 actionType 属性以指定对象的类型。

对于 AddIncidentTask,请使用:

  "actionType": "AddIncidentTask",
  "actionConfiguration": {
    "description": "string",
    "title": "string"
  }

对于 ModifyProperties,请使用:

  "actionType": "ModifyProperties",
  "actionConfiguration": {
    "classification": "string",
    "classificationComment": "string",
    "classificationReason": "string",
    "labels": [
      {
        "labelName": "string"
      }
    ],
    "owner": {
      "assignedTo": "string",
      "email": "string",
      "objectId": "string",
      "ownerType": "string",
      "userPrincipalName": "string"
    },
    "severity": "string",
    "status": "string"
  }

对于 RunPlaybook,请使用:

  "actionType": "RunPlaybook",
  "actionConfiguration": {
    "logicAppResourceId": "string",
    "tenantId": "string"
  }

AutomationRuleCondition 对象

设置 conditionType 属性以指定对象的类型。

对于 布尔值,请使用:

  "conditionType": "Boolean",
  "conditionProperties": {
    "innerConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ],
    "operator": "string"
  }

对于 “属性”,请使用:

  "conditionType": "Property",
  "conditionProperties": {
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

对于 PropertyArray,请使用:

  "conditionType": "PropertyArray",
  "conditionProperties": {
    "arrayConditionType": "AnyItem",
    "arrayType": "string",
    "itemConditions": [
      {
        "conditionType": "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

对于 PropertyArrayChanged,请使用:

  "conditionType": "PropertyArrayChanged",
  "conditionProperties": {
    "arrayType": "string",
    "changeType": "Added"
  }

对于 PropertyChanged,请使用:

  "conditionType": "PropertyChanged",
  "conditionProperties": {
    "changeType": "string",
    "operator": "string",
    "propertyName": "string",
    "propertyValues": [ "string" ]
  }

属性值

automationRules

名称 说明 Value
type 资源类型 “Microsoft.SecurityInsights/automationRules”
apiVersion 资源 API 版本 “2023-02-01-preview”
name 资源名称 字符串 (必需)
scope 在与部署范围不同的范围创建扩展资源时使用 。 目标资源

对于 JSON,请将值设置为要向其应用 扩展资源 的资源的全名。
etag Azure 资源的 Etag string
properties 自动化规则属性 AutomationRuleProperties (必需)

AutomationRuleProperties

名称 说明
actions 触发自动化规则时要执行的操作。 AutomationRuleAction[] (必需的)
displayName 自动化规则的显示名称。 字符串 (必需)
顺序 自动化规则的执行顺序。 int (必需)
triggeringLogic 介绍自动化规则触发逻辑。 需要 AutomationRuleTriggeringLogic ()

AutomationRuleAction

名称 说明
顺序 int (必需)
actionType 设置对象类型 AddIncidentTask
ModifyProperties
RunPlaybook (必需)

AutomationRuleAddIncidentTaskAction

名称 说明
actionType 自动化规则操作的类型。 “AddIncidentTask” (必需)
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

名称 说明
description 任务的描述。 string
title 任务的标题。 字符串 (必需)

AutomationRuleModifyPropertiesAction

名称 说明
actionType 自动化规则操作的类型。 “ModifyProperties” (必需)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

名称 说明
分类 事件被关闭的原因 “BenignPositive”
“FalsePositive”
“TruePositive”
“未确定”
classificationComment 描述关闭事件的原因。 字符串
classificationReason 事件被关闭的分类原因 “不准确的数据”
“IncorrectAlertLogic”
“SuspiciousActivity”
“SuspiciousButExpected”
标签 要添加到事件的标签列表。 IncidentLabel[]
owner 有关事件分配到的用户的信息 IncidentOwnerInfo
severity 事件的严重性 “高”
“Informational”
“低”
“中”
status 事件的状态 “Active”
“已关闭”
“新建”

IncidentLabel

名称 说明
labelName 标签的名称 字符串 (必需)

IncidentOwnerInfo

名称 说明
assignedTo 事件分配到的用户的名称。 string
电子邮件 事件分配到的用户的电子邮件。 字符串
objectId 事件分配到的用户的对象 ID。 字符串
ownerType 事件分配到的所有者的类型。 “组”
“未知”
“User”
userPrincipalName 事件分配到的用户的用户主体名称。 字符串

AutomationRuleRunPlaybookAction

名称 说明
actionType 自动化规则操作的类型。 “RunPlaybook” (必需)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

名称 说明
logicAppResourceId playbook 资源的资源 ID。 字符串
tenantId playbook 资源的租户 ID。 字符串

AutomationRuleTriggeringLogic

名称 说明
条件 要评估的条件,以确定是否应在给定对象上触发自动化规则。 AutomationRuleCondition[]
expirationTimeUtc 确定自动化规则何时自动过期并被禁用。 字符串
isEnabled 确定是启用或禁用自动化规则。 bool (必需)
triggersOn “警报”
需要“事件” ()
triggersWhen “Created”
需要“已更新” ()

AutomationRuleCondition

名称 说明
conditionType 设置对象类型 布尔值
属性
PropertyArray
PropertyArrayChanged
PropertyChanged (必需)

BooleanConditionProperties

名称 说明
conditionType 需要“布尔值” ()
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

名称 说明
innerConditions AutomationRuleCondition[]
运算符后的表达式 “And”
“Or”

PropertyConditionProperties

名称 说明
conditionType “Property” (必需)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

名称 说明
运算符后的表达式 “Contains”
'EndsWith'
'Equals'
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
'StartsWith'
propertyName 在自动化规则属性条件中要计算的属性。 'AccountAadTenantId'
'AccountAadUserId'
“AccountNTDomain”
'AccountName'
'AccountObjectGuid'
“AccountPUID”
'AccountSid'
'AccountUPNSuffix'
'AlertAnalyticRuleIds'
'AlertProductNames'
“AzureResourceResourceId”
“AzureResourceSubscriptionId”
“CloudApplicationAppId”
“CloudApplicationAppName”
'DNSDomainName'
'FileDirectory'
'FileHashValue'
'FileName'
“HostAzureID”
'HostNTDomain'
'HostName'
“HostNetBiosName”
“HostOSVersion”
'IPAddress'
'IncidentCustomDetailsKey'
'IncidentCustomDetailsValue'
“IncidentDescription”
“IncidentLabel”
'IncidentProviderName'
'IncidentRelatedAnalyticRuleIds'
“IncidentSeverity”
“IncidentStatus”
“IncidentTactics”
'IncidentTitle'
“IncidentUpdatedBySource”
“IoTDeviceId”
“IoTDeviceModel”
“IoTDeviceName”
“IoTDeviceOperatingSystem”
“IoTDeviceType”
“IoTDeviceVendor”
'MailMessageDeliveryAction'
'MailMessageDeliveryLocation'
'MailMessageP1Sender'
'MailMessageP2Sender'
'MailMessageRecipient'
'MailMessageSenderIP'
'MailMessageSubject'
'MailboxDisplayName'
'MailboxPrimaryAddress'
'MailboxUPN'
“MalwareCategory”
'MalwareName'
“ProcessCommandLine”
“ProcessId”
“RegistryKey”
'RegistryValueData'
'Url'
propertyValues string[]

PropertyArrayConditionProperties

名称 说明
conditionType “PropertyArray” (必需)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

名称 说明
arrayConditionType 'AnyItem'
arrayType 'CustomDetailValues'
“CustomDetails”
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

名称 说明
conditionType “PropertyArrayChanged” (必需)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

名称 说明
arrayType 'Alerts'
'Comments'
'Labels'
“策略”
changeType 'Added'

PropertyChangedConditionProperties

名称 说明
conditionType “PropertyChanged” (必需)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

名称 说明
changeType “ChangedFrom”
“ChangedTo”
运算符后的表达式 “Contains”
'EndsWith'
'Equals'
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
'StartsWith'
propertyName “IncidentOwner”
“IncidentSeverity”
“IncidentStatus”
propertyValues string[]

快速入门模板

以下快速入门模板部署此资源类型。

模板 说明
创建新的 Microsoft Sentinel 自动化规则

部署到 Azure		 此示例演示如何在 Microsoft Sentinel 中创建新的自动化规则

Terraform (AzAPI 提供程序) 资源定义

automationRules 资源类型是 扩展资源,这意味着你可以将其应用于另一个资源。

parent_id使用此资源上的 属性可设置此资源的作用域。

有关每个 API 版本中已更改属性的列表,请参阅 更改日志

资源格式

若要创建 Microsoft.SecurityInsights/automationRules 资源,请将以下 Terraform 添加到模板。

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.SecurityInsights/automationRules@2023-02-01-preview"
  name = "string"
  parent_id = "string"
  body = jsonencode({
    properties = {
      actions = [
        {
          order = int
          actionType = "string"
          // For remaining properties, see AutomationRuleAction objects
        }
      ]
      displayName = "string"
      order = int
      triggeringLogic = {
        conditions = [
          {
            conditionType = "string"
            // For remaining properties, see AutomationRuleCondition objects
          }
        ]
        expirationTimeUtc = "string"
        isEnabled = bool
        triggersOn = "string"
        triggersWhen = "string"
      }
    }
    etag = "string"
  })
}

AutomationRuleAction 对象

设置 actionType 属性以指定对象的类型。

对于 AddIncidentTask,请使用:

  actionType = "AddIncidentTask"
  actionConfiguration = {
    description = "string"
    title = "string"
  }

对于 ModifyProperties,请使用:

  actionType = "ModifyProperties"
  actionConfiguration = {
    classification = "string"
    classificationComment = "string"
    classificationReason = "string"
    labels = [
      {
        labelName = "string"
      }
    ]
    owner = {
      assignedTo = "string"
      email = "string"
      objectId = "string"
      ownerType = "string"
      userPrincipalName = "string"
    }
    severity = "string"
    status = "string"
  }

对于 RunPlaybook,请使用:

  actionType = "RunPlaybook"
  actionConfiguration = {
    logicAppResourceId = "string"
    tenantId = "string"
  }

AutomationRuleCondition 对象

设置 conditionType 属性以指定对象的类型。

对于 布尔值,请使用:

  conditionType = "Boolean"
  conditionProperties = {
    innerConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
    operator = "string"
  }

对于 “属性”,请使用:

  conditionType = "Property"
  conditionProperties = {
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

对于 PropertyArray,请使用:

  conditionType = "PropertyArray"
  conditionProperties = {
    arrayConditionType = "AnyItem"
    arrayType = "string"
    itemConditions = [
      {
        conditionType = "string"
        // For remaining properties, see AutomationRuleCondition objects
      }
    ]
  }

对于 PropertyArrayChanged,请使用:

  conditionType = "PropertyArrayChanged"
  conditionProperties = {
    arrayType = "string"
    changeType = "Added"
  }

对于 PropertyChanged,请使用:

  conditionType = "PropertyChanged"
  conditionProperties = {
    changeType = "string"
    operator = "string"
    propertyName = "string"
    propertyValues = [
      "string"
    ]
  }

属性值

automationRules

名称 说明 Value
type 资源类型 “Microsoft.SecurityInsights/automationRules@2023-02-01-preview”
name 资源名称 字符串 (必需)
parent_id 要应用此扩展资源的资源的 ID。 字符串 (必需)
etag Azure 资源的 Etag string
properties 自动化规则属性 AutomationRuleProperties (必需的)

AutomationRuleProperties

名称 说明
actions 触发自动化规则时要执行的操作。 AutomationRuleAction[] (必需的)
displayName 自动化规则的显示名称。 字符串 (必需)
顺序 自动化规则的执行顺序。 int (必需)
triggeringLogic 介绍自动化规则触发逻辑。 需要 AutomationRuleTriggeringLogic ()

AutomationRuleAction

名称 说明
顺序 int (必需)
actionType 设置对象类型 AddIncidentTask
ModifyProperties
RunPlaybook (必需)

AutomationRuleAddIncidentTaskAction

名称 说明
actionType 自动化规则操作的类型。 需要“AddIncidentTask” ()
actionConfiguration AddIncidentTaskActionProperties

AddIncidentTaskActionProperties

名称 说明
description 任务的描述。 字符串
title 任务的标题。 字符串 (必需)

AutomationRuleModifyPropertiesAction

名称 说明
actionType 自动化规则操作的类型。 “ModifyProperties” (必需)
actionConfiguration IncidentPropertiesAction

IncidentPropertiesAction

名称 说明
分类 事件关闭的原因 “BenignPositive”
“FalsePositive”
“TruePositive”
“未确定”
classificationComment 描述关闭事件的原因。 字符串
classificationReason 事件结束的分类原因 “不准确的数据”
“IncorrectAlertLogic”
“SuspiciousActivity”
“SuspiciousButExpected”
标签 要添加到事件的标签列表。 IncidentLabel[]
owner 有关事件分配到的用户的信息 IncidentOwnerInfo
severity 事件的严重性 "High"
“Informational”
"Low"
“中”
status 事件的状态 “活动”
"Closed"
“新建”

IncidentLabel

名称 说明
labelName 标签的名称 字符串 (必需)

IncidentOwnerInfo

名称 说明
assignedTo 事件分配到的用户的名称。 字符串
电子邮件 事件分配到的用户的电子邮件。 字符串
objectId 事件分配到的用户的对象 ID。 字符串
ownerType 事件分配到的所有者的类型。 “组”
"Unknown"
“User”
userPrincipalName 事件分配到的用户的用户主体名称。 字符串

AutomationRuleRunPlaybookAction

名称 说明
actionType 自动化规则操作的类型。 “RunPlaybook” (必需)
actionConfiguration PlaybookActionProperties

PlaybookActionProperties

名称 说明
logicAppResourceId playbook 资源的资源 ID。 字符串
tenantId playbook 资源的租户 ID。 字符串

AutomationRuleTriggeringLogic

名称 说明
条件 要评估的条件,以确定是否应在给定对象上触发自动化规则。 AutomationRuleCondition[]
expirationTimeUtc 确定自动化规则何时自动过期并被禁用。 string
isEnabled 确定是启用或禁用自动化规则。 bool (必需)
triggersOn “警报”
需要“事件” ()
triggersWhen “已创建”
“已更新” (必需)

AutomationRuleCondition

名称 说明
conditionType 设置对象类型 布尔值
属性
PropertyArray
PropertyArrayChanged
PropertyChanged (必需)

BooleanConditionProperties

名称 说明
conditionType “boolean” (必需)
conditionProperties AutomationRuleBooleanCondition

AutomationRuleBooleanCondition

名称 说明
innerConditions AutomationRuleCondition[]
运算符后的表达式 “And”
“Or”

PropertyConditionProperties

名称 说明
conditionType “属性” (必需的)
conditionProperties AutomationRulePropertyValuesCondition

AutomationRulePropertyValuesCondition

名称 说明
运算符后的表达式 “Contains”
“EndsWith”
“Equals”
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
“StartsWith”
propertyName 在自动化规则属性条件中要评估的属性。 “AccountAadTenantId”
“AccountAadUserId”
“AccountNTDomain”
“AccountName”
“AccountObjectGuid”
“AccountPUID”
“AccountSid”
“AccountUPNSuffix”
“AlertAnalyticRuleIds”
“AlertProductNames”
“AzureResourceResourceId”
“AzureResourceSubscriptionId”
“CloudApplicationAppId”
“CloudApplicationAppName”
“DNSDomainName”
“FileDirectory”
“FileHashValue”
“FileName”
“HostAzureID”
“HostNTDomain”
“HostName”
“HostNetBiosName”
“HostOSVersion”
“IPAddress”
“IncidentCustomDetailsKey”
“IncidentCustomDetailsValue”
“IncidentDescription”
“IncidentLabel”
“IncidentProviderName”
“IncidentRelatedAnalyticRuleIds”
“IncidentSeverity”
“IncidentStatus”
“IncidentTactics”
“IncidentTitle”
“IncidentUpdatedBySource”
“IoTDeviceId”
“IoTDeviceModel”
“IoTDeviceName”
“IoTDeviceOperatingSystem”
“IoTDeviceType”
“IoTDeviceVendor”
“MailMessageDeliveryAction”
“MailMessageDeliveryLocation”
“MailMessageP1Sender”
“MailMessageP2Sender”
“MailMessageRecipient”
“MailMessageSenderIP”
“MailMessageSubject”
“MailboxDisplayName”
“MailboxPrimaryAddress”
“MailboxUPN”
“MalwareCategory”
“MalwareName”
“ProcessCommandLine”
“ProcessId”
“RegistryKey”
“RegistryValueData”
“Url”
propertyValues string[]

PropertyArrayConditionProperties

名称 说明
conditionType “PropertyArray” (必需)
conditionProperties AutomationRulePropertyArrayValuesCondition

AutomationRulePropertyArrayValuesCondition

名称 说明
arrayConditionType “AnyItem”
arrayType “CustomDetailValues”
“CustomDetails”
itemConditions AutomationRuleCondition[]

PropertyArrayChangedConditionProperties

名称 说明
conditionType “PropertyArrayChanged” (必需)
conditionProperties AutomationRulePropertyArrayChangedValuesCondition

AutomationRulePropertyArrayChangedValuesCondition

名称 说明
arrayType “警报”
“注释”
“标签”
“策略”
changeType “Added”

PropertyChangedConditionProperties

名称 说明
conditionType “PropertyChanged” (必需)
conditionProperties AutomationRulePropertyValuesChangedCondition

AutomationRulePropertyValuesChangedCondition

名称 说明
changeType “ChangedFrom”
“ChangedTo”
运算符后的表达式 “Contains”
“EndsWith”
“Equals”
“NotContains”
“NotEndsWith”
“NotEquals”
“NotStartsWith”
“StartsWith”
propertyName “IncidentOwner”
“IncidentSeverity”
“IncidentStatus”
propertyValues string[]