你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

New-AzSentinelAlertRule

创建分析规则 (警报规则) 。

语法

New-AzSentinelAlertRule
   -ResourceGroupName <String>
   -WorkspaceName <String>
   [-Scheduled]
   [-AlertRuleId <String>]
   [-AlertRuleTemplateName <String>]
   [-Enabled]
   -DisplayName <String>
   [-Description <String>]
   [-SuppressionDuration <TimeSpan>]
   [-SuppressionEnabled]
   -Query <String>
   -QueryFrequency <TimeSpan>
   -QueryPeriod <TimeSpan>
   -Severity <String>
   [-Tactic <System.Collections.Generic.IList`1[System.String]>]
   [-TriggerOperator <TriggerOperator>]
   -TriggerThreshold <Int32>
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
New-AzSentinelAlertRule
   -ResourceGroupName <String>
   -WorkspaceName <String>
   [-Fusion]
   [-AlertRuleId <String>]
   -AlertRuleTemplateName <String>
   [-Enabled]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]
New-AzSentinelAlertRule
   -ResourceGroupName <String>
   -WorkspaceName <String>
   [-MicrosoftSecurityIncidentCreation]
   [-AlertRuleId <String>]
   [-AlertRuleTemplateName <String>]
   [-Enabled]
   -DisplayName <String>
   -ProductFilter <String>
   [-Description <String>]
   [-DisplayNamesExcludeFilter <System.Collections.Generic.IList`1[System.String]>]
   [-DisplayNamesFilter <System.Collections.Generic.IList`1[System.String]>]
   [-SeveritiesFilter <System.Collections.Generic.IList`1[System.String]>]
   [-DefaultProfile <IAzureContextContainer>]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

说明

New-AzSentinelAlertRule cmdlet 会在指定工作区中创建 Analytic (警报规则) 。 必须指定以下三个参数之一: FusionScheduledMicrosoftSecurityIncidentCreation,以指定要创建的警报规则的类型。 每种类型都有不同的必需参数。 可以使用 Confirm 参数和$ConfirmPreference Windows PowerShell变量来控制 cmdlet 是否提示你进行确认。

示例

示例 1

$AlertRuleTemplateName = "f71aba3d-28fb-450b-b192-4e76a83015c8"
$AlertRule = New-AzSentinelAlertRule -ResourceGroupName "MyResourceGroup" -WorkspaceName "MyWorkspaceName" -Fusion -Enabled -AlertRuleTemplateName $AlertRuleTemplateName

此示例基于高级多阶段攻击检测模板创建 Fusion 类型的 AlertRule,然后将其存储在$AlertRule变量中。
由于使用的是 AlertRuleTemplate,因此只需传递参数 -Enabled 才能启用和激活此规则。

示例 2

$AlertRuleTemplateName = "a2e0eb51-1f11-461a-999b-cd0ebe5c7a72"
$AlertRule = New-AzSentinelAlertRule -ResourceGroupName "MyResourceGroup" -WorkspaceName "MyWorkspaceName" -MicrosoftSecurityIncidentCreation -Enabled -AlertRuleTemplateName $AlertRuleTemplateName -DisplayName "Create incidents based on Azure Security Center for IoT" -ProductFilter "Azure Security Center for IoT"

此示例基于基于 IoT 警报Azure 安全中心创建事件的模板创建 MicrosoftSecurityIncidentCreation 类型的 AlertRule,然后将其存储在 $AlertRule varaible 中。

示例 3

$AlertRule = New-AzSentinelAlertRule -ResourceGroupName "MyResourceGroup" -WorkspaceName "MyWorkspaceName" -Scheduled -Enabled -DisplayName "Powershell Exection Alert (Several Times per Hour)" -Severity Low -Query "SecurityEvent | where EventId == 4688" -QueryFrequency (New-TimeSpan -Hours 1) -QueryPeriod (New-TimeSpan -Hours 1) -TriggerThreshold 10

此示例创建 Scheduled 类型的 DataConnector,然后将其存储在$AlertRule变量中。
请注意,查询 (参数 -Query) 需要以字符串的形式位于单个行上。

示例 4

$NewRuleObject = @{
    Scheduled = $true
    Enabled = $true
    Query = "SecurityEvent
    | where EventID == 4624 and AccountType == ""User""
    | where Account == ""user1@contoso.com""
    | distinct Account"

    DisplayName = "A VIP has logged on"
    Description = "my description"
    QueryPeriod = (New-TimeSpan -Hours 1)
    QueryFrequency = (New-TimeSpan -Hours 1)
    TriggerThreshold = 0
    TriggerOperator = "GreaterThan" #Equal, GreaterThan, LessThan, NotEqual
    Severity = "Medium" # Low, Medium, High
}
$NewRule= New-AzSentinelAlertRule @SentinelConnection @NewRuleObject

此示例使用连接对象和对象来配置警报规则逻辑,包括查询。
注意:请注意示例中的双引号。 如果需要在查询中使用字符串,则需要使用双引号作为转义字符。

参数

-AlertRuleId

警报规则 ID。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-AlertRuleTemplateName

警报规则模板。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DefaultProfile

用于与 Azure 通信的凭据、帐户、租户和订阅。

Type:IAzureContextContainer
Aliases:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Description

说明。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DisplayName

警报规则显示名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DisplayNamesExcludeFilter

警报规则显示名称排除筛选器。

Type:IList<T>[String]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-DisplayNamesFilter

警报规则显示名称筛选器。

Type:IList<T>[String]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Enabled

已启用警报规则。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Fusion

警报规则类型。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-MicrosoftSecurityIncidentCreation

警报规则类型。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ProductFilter

警报规则产品筛选器。

Type:String
Accepted values:Azure Active Directory Identity Protection, Azure Advanced Threat Protection, Azure Security Center, Azure Security Center for IoT, Microsoft Cloud App Security, Microsoft Defender Advanced Threat Protection, Office 365 Advanced Threat Protection
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Query

警报规则查询。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-QueryFrequency

警报规则查询频率。

Type:Nullable<T>[TimeSpan]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-QueryPeriod

警报规则查询周期。

Type:Nullable<T>[TimeSpan]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-ResourceGroupName

资源组名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Scheduled

警报规则类型。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-SeveritiesFilter

警报规则严重性筛选器。

Type:IList<T>[String]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Severity

事件严重性。

Type:String
Accepted values:High, Informational, Low, Medium
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-SuppressionDuration

警报规则抑制持续时间。

Type:TimeSpan
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-SuppressionEnabled

已启用警报规则抑制。

Type:SwitchParameter
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-Tactic

警报规则策略。

Type:IList<T>[String]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-TriggerOperator

警报规则触发器运算符。

Type:Microsoft.Azure.Management.SecurityInsights.Models.TriggerOperator
Accepted values:Equal, GreaterThan, LessThan, NotEqual
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-TriggerThreshold

警报规则触发器阈值。

Type:Nullable<T>[Int32]
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-WhatIf

显示在此 cmdlet 运行的情况下将会发生什么。 此 cmdlet 未运行。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

-WorkspaceName

工作区名称。

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

输入

None

输出

PSSentinelAlertRule