你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Alert Rules - List

获取所有警报规则。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

URI 参数

名称 必需 类型 说明
resourceGroupName
path True

string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True

string

目标订阅的 ID。

workspaceName
path True

string

工作区的名称。

正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

要用于此操作的 API 版本。

响应

名称 类型 说明
200 OK

AlertRulesList

正常,操作已成功完成

Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称 说明
user_impersonation 模拟用户帐户

示例

Get all alert rules.

示例请求

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01

示例响应

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Scheduled",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "alertRuleTemplateName": null,
        "displayName": "My scheduled rule",
        "description": "An example for a scheduled rule",
        "severity": "High",
        "enabled": true,
        "tactics": [
          "Persistence",
          "LateralMovement"
        ],
        "query": "Heartbeat",
        "queryFrequency": "PT1H",
        "queryPeriod": "P2DT1H30M",
        "triggerOperator": "GreaterThan",
        "triggerThreshold": 0,
        "suppressionDuration": "PT1H",
        "suppressionEnabled": false,
        "lastModifiedUtc": "2021-03-01T13:17:30Z",
        "eventGroupingSettings": {
          "aggregationKind": "AlertPerResult"
        },
        "customDetails": {
          "OperatingSystemName": "OSName",
          "OperatingSystemType": "OSType"
        },
        "entityMappings": [
          {
            "entityType": "Host",
            "fieldMappings": [
              {
                "identifier": "FullName",
                "columnName": "Computer"
              }
            ]
          },
          {
            "entityType": "IP",
            "fieldMappings": [
              {
                "identifier": "Address",
                "columnName": "ComputerIP"
              }
            ]
          }
        ],
        "alertDetailsOverride": {
          "alertDisplayNameFormat": "Alert from {{Computer}}",
          "alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
          "alertTacticsColumnName": null,
          "alertSeverityColumnName": null
        },
        "incidentConfiguration": {
          "createIncident": true,
          "groupingConfiguration": {
            "enabled": true,
            "reopenClosedIncident": false,
            "lookbackDuration": "PT5H",
            "matchingMethod": "Selected",
            "groupByEntities": [
              "Host"
            ],
            "groupByAlertDetails": [
              "DisplayName"
            ],
            "groupByCustomDetails": [
              "OperatingSystemType",
              "OperatingSystemName"
            ]
          }
        }
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
      "name": "microsoftSecurityIncidentCreationRuleExample",
      "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "MicrosoftSecurityIncidentCreation",
      "properties": {
        "productFilter": "Microsoft Cloud App Security",
        "severitiesFilter": null,
        "displayNamesFilter": null,
        "displayName": "testing displayname",
        "enabled": true,
        "description": null,
        "alertRuleTemplateName": null,
        "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
      "name": "myFirstFusionRule",
      "etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Fusion",
      "properties": {
        "displayName": "Advanced Multi-Stage Attack Detection",
        "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
        "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
        "tactics": [
          "Persistence",
          "LateralMovement",
          "Exfiltration",
          "CommandAndControl"
        ],
        "severity": "High",
        "enabled": false,
        "lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
      }
    }
  ]
}

定义

名称 说明
AlertDetail

匹配方法为“选择”时按 (分组的警报详细信息列表)

AlertDetailsOverride

有关如何动态替代警报静态详细信息的设置

AlertProperty

V3 警报属性

AlertPropertyMapping

要替代的单个警报属性映射

AlertRulesList

列出所有警报规则。

AlertSeverity

此警报规则创建的警报的严重性。

AttackTactic

此警报规则创建的警报的严重性。

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识类型。

EntityMapping

警报规则的单个实体映射

EntityMappingType

映射实体的 V3 类型

EventGroupingAggregationKind

事件分组聚合类型

EventGroupingSettings

事件分组设置属性包。

FieldMapping

映射实体的单个字段映射

FusionAlertRule

表示 Fusion 警报规则。

GroupingConfiguration

分组配置属性包。

IncidentConfiguration

事件配置属性包。

MatchingMethod

分组匹配方法。 当方法为“选择至少一个 groupByEntities”时,必须提供 groupByAlertDetails、groupByCustomDetails,而不是空的。

MicrosoftSecurityIncidentCreationAlertRule

表示 MicrosoftSecurityIncidentCreation 规则。

MicrosoftSecurityProductName

将生成事例的警报的 productName

ScheduledAlertRule

表示计划的警报规则。

systemData

与资源的创建和上次修改相关的元数据。

TriggerOperator

针对触发警报规则的阈值的操作。

AlertDetail

匹配方法为“选择”时按 (分组的警报详细信息列表)

名称 类型 说明
DisplayName

string

警报显示名称

Severity

string

警报严重性

AlertDetailsOverride

有关如何动态替代警报静态详细信息的设置

名称 类型 说明
alertDescriptionFormat

string

包含列名称 () 以替代警报说明的格式

alertDisplayNameFormat

string

包含列名称的格式, () 替代警报名称

alertDynamicProperties

AlertPropertyMapping[]

要替代的其他动态属性的列表

alertSeverityColumnName

string

要从中获取警报严重性的列名

alertTacticsColumnName

string

要从中获取警报策略的列名称

AlertProperty

V3 警报属性

名称 类型 说明
AlertLink

string

警报的链接

ConfidenceLevel

string

置信度属性

ConfidenceScore

string

置信度分数

ExtendedLinks

string

警报的扩展链接

ProductComponentName

string

产品组件名称警报属性

ProductName

string

产品名称警报属性

ProviderName

string

提供程序名称警报属性

RemediationSteps

string

修正步骤警报属性

Techniques

string

技术警报属性

AlertPropertyMapping

要替代的单个警报属性映射

名称 类型 说明
alertProperty

AlertProperty

V3 警报属性

value

string

用于替代此属性的列名

AlertRulesList

列出所有警报规则。

名称 类型 说明
nextLink

string

用于提取下一组警报规则的 URL。

value AlertRule[]:

警报规则数组。

AlertSeverity

此警报规则创建的警报的严重性。

名称 类型 说明
High

string

高严重性

Informational

string

信息严重性

Low

string

低严重性

Medium

string

中等严重性

AttackTactic

此警报规则创建的警报的严重性。

名称 类型 说明
Collection

string

CommandAndControl

string

CredentialAccess

string

DefenseEvasion

string

Discovery

string

Execution

string

Exfiltration

string

Impact

string

ImpairProcessControl

string

InhibitResponseFunction

string

InitialAccess

string

LateralMovement

string

Persistence

string

PreAttack

string

PrivilegeEscalation

string

Reconnaissance

string

ResourceDevelopment

string

CloudError

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message

string

描述错误的消息,该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称 类型 说明
Application

string

Key

string

ManagedIdentity

string

User

string

EntityMapping

警报规则的单个实体映射

名称 类型 说明
entityType

EntityMappingType

映射实体的 V3 类型

fieldMappings

FieldMapping[]

给定实体映射的字段映射数组

EntityMappingType

映射实体的 V3 类型

名称 类型 说明
Account

string

用户帐户实体类型

AzureResource

string

Azure 资源实体类型

CloudApplication

string

云应用实体类型

DNS

string

DNS 实体类型

File

string

系统文件实体类型

FileHash

string

文件哈希实体类型

Host

string

主机实体类型

IP

string

IP 地址实体类型

MailCluster

string

邮件群集实体类型

MailMessage

string

邮件实体类型

Mailbox

string

邮箱实体类型

Malware

string

恶意软件实体类型

Process

string

进程实体类型

RegistryKey

string

注册表项实体类型

RegistryValue

string

注册表值实体类型

SecurityGroup

string

安全组实体类型

SubmissionMail

string

提交邮件实体类型

URL

string

URL 实体类型

EventGroupingAggregationKind

事件分组聚合类型

名称 类型 说明
AlertPerResult

string

SingleAlert

string

EventGroupingSettings

事件分组设置属性包。

名称 类型 说明
aggregationKind

EventGroupingAggregationKind

事件分组聚合类型

FieldMapping

映射实体的单个字段映射

名称 类型 说明
columnName

string

要映射到标识符的列名

identifier

string

实体的 V3 标识符

FusionAlertRule

表示 Fusion 警报规则。

名称 类型 说明
etag

string

Azure 资源的 Etag

id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Fusion

警报规则类型

name

string

资源的名称

properties.alertRuleTemplateName

string

用于创建此规则的警报规则模板的名称。

properties.description

string

警报规则的说明。

properties.displayName

string

此警报规则创建的警报的显示名称。

properties.enabled

boolean

确定是启用还是禁用此警报规则。

properties.lastModifiedUtc

string

上次修改此警报的时间。

properties.severity

AlertSeverity

此警报规则创建的警报的严重性。

properties.tactics

AttackTactic[]

警报规则的策略

properties.techniques

string[]

警报规则的技术

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

GroupingConfiguration

分组配置属性包。

名称 类型 说明
enabled

boolean

已启用分组

groupByAlertDetails

AlertDetail[]

匹配方法为“选择”时按 (分组的警报详细信息列表)

groupByCustomDetails

string[]

当匹配Method 为 Selected) 时,按 (分组的自定义详细信息键列表。 只能使用当前警报规则中定义的密钥。

groupByEntities

EntityMappingType[]

当匹配Method 为 Selected) 时,按 (分组的实体类型的列表。 只能使用在当前警报规则中定义的实体。

lookbackDuration

string

将组限制为在 iso 8601 持续时间格式的回溯持续时间 (创建的警报)

matchingMethod

MatchingMethod

分组匹配方法。 当方法为“选择至少一个 groupByEntities”时,必须提供 groupByAlertDetails、groupByCustomDetails,而不是空的。

reopenClosedIncident

boolean

重新打开已关闭的匹配事件

IncidentConfiguration

事件配置属性包。

名称 类型 说明
createIncident

boolean

根据此分析规则触发的警报创建事件

groupingConfiguration

GroupingConfiguration

设置此分析规则触发的警报如何分组到事件中

MatchingMethod

分组匹配方法。 当方法为“选择至少一个 groupByEntities”时,必须提供 groupByAlertDetails、groupByCustomDetails,而不是空的。

名称 类型 说明
AllEntities

string

如果所有实体都匹配,将警报分组到单个事件中

AnyAlert

string

将此规则触发的任何警报分组到单个事件中

Selected

string

如果所选实体、自定义详细信息和警报详细信息匹配,请将警报分组为单个事件

MicrosoftSecurityIncidentCreationAlertRule

表示 MicrosoftSecurityIncidentCreation 规则。

名称 类型 说明
etag

string

Azure 资源的 Etag

id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

MicrosoftSecurityIncidentCreation

警报规则类型

name

string

资源的名称

properties.alertRuleTemplateName

string

用于创建此规则的警报规则模板的名称。

properties.description

string

警报规则的说明。

properties.displayName

string

此警报规则创建的警报的显示名称。

properties.displayNamesExcludeFilter

string[]

不会生成事例的警报的 displayNames

properties.displayNamesFilter

string[]

将生成事例的警报的 displayNames

properties.enabled

boolean

确定是启用还是禁用此警报规则。

properties.lastModifiedUtc

string

上次修改此警报的时间。

properties.productFilter

MicrosoftSecurityProductName

将生成事例的警报的 productName

properties.severitiesFilter

AlertSeverity[]

将生成事例的警报的严重性

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MicrosoftSecurityProductName

将生成事例的警报的 productName

名称 类型 说明
Azure Active Directory Identity Protection

string

Azure Advanced Threat Protection

string

Azure Security Center

string

Azure Security Center for IoT

string

Microsoft Cloud App Security

string

ScheduledAlertRule

表示计划的警报规则。

名称 类型 说明
etag

string

Azure 资源的 Etag

id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:

Scheduled

警报规则类型

name

string

资源的名称

properties.alertDetailsOverride

AlertDetailsOverride

警报详细信息替代设置

properties.alertRuleTemplateName

string

用于创建此规则的警报规则模板的名称。

properties.customDetails

object

要附加到警报的列的字符串键值对字典

properties.description

string

警报规则的说明。

properties.displayName

string

此警报规则创建的警报的显示名称。

properties.enabled

boolean

确定是启用还是禁用此警报规则。

properties.entityMappings

EntityMapping[]

警报规则的实体映射数组

properties.eventGroupingSettings

EventGroupingSettings

事件分组设置。

properties.incidentConfiguration

IncidentConfiguration

通过此分析规则触发的警报创建的事件的设置

properties.lastModifiedUtc

string

上次修改此警报规则的时间。

properties.query

string

为此规则创建警报的查询。

properties.queryFrequency

string

) 运行此警报规则的频率 (ISO 8601 持续时间格式。

properties.queryPeriod

string

此警报规则) 以 ISO 8601 持续时间格式 (时间段。

properties.severity

AlertSeverity

此警报规则创建的警报的严重性。

properties.suppressionDuration

string

ISO 8601 持续时间格式的抑制 (自上次触发此警报规则以来) 等待。

properties.suppressionEnabled

boolean

确定是启用或禁用此警报规则的抑制。

properties.tactics

AttackTactic[]

警报规则的策略

properties.techniques

string[]

警报规则的技术

properties.templateVersion

string

用于创建此规则的警报规则模板版本 - 格式 <为 a.b.c>,其中都是数字,例如 0 <1.0.2>

properties.triggerOperator

TriggerOperator

针对触发警报规则的阈值的操作。

properties.triggerThreshold

integer

阈值触发此警报规则。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

systemData

与资源的创建和上次修改相关的元数据。

名称 类型 说明
createdAt

string

资源创建时间戳 (UTC) 。

createdBy

string

创建资源的标识。

createdByType

createdByType

创建资源的标识类型。

lastModifiedAt

string

资源上次修改的时间戳 (UTC)

lastModifiedBy

string

上次修改资源的标识。

lastModifiedByType

createdByType

上次修改资源的标识类型。

TriggerOperator

针对触发警报规则的阈值的操作。

名称 类型 说明
Equal

string

GreaterThan

string

LessThan

string

NotEqual

string