你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Alert Rule Templates - Get
获取警报规则模板。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01
URI 参数
名称 | 在 | 必需 | 类型 | 说明 |
---|---|---|---|---|
alert
|
path | True |
string |
警报规则模板 ID |
resource
|
path | True |
string |
资源组的名称。 此名称不区分大小写。 |
subscription
|
path | True |
string |
目标订阅的 ID。 |
workspace
|
path | True |
string |
工作区的名称。 Regex pattern: |
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
响应
名称 | 类型 | 说明 |
---|---|---|
200 OK | AlertRuleTemplate: |
确定,操作已成功完成 |
Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名称 | 说明 |
---|---|
user_impersonation | 模拟用户帐户 |
示例
Get alert rule template by Id.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.2",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"entityMappings": [
{
"entityType": "Account",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "AccountCustomEntity"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "IPCustomEntity"
}
]
}
],
"customDetails": {
"EventNames": "EventName",
"EventTypes": "EventTypeName"
},
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert on event {{EventName}}",
"alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"alertRulesCreatedByTemplateCount": 0
}
}
定义
名称 | 说明 |
---|---|
Alert |
有关如何动态替代警报静态详细信息的设置 |
Alert |
V3 警报属性 |
Alert |
要替代的单个警报属性映射 |
Alert |
警报规则模板数据源 |
Alert |
此警报规则创建的警报的严重性。 |
Attack |
此警报规则创建的警报的严重性。 |
Cloud |
错误响应结构。 |
Cloud |
错误详细信息。 |
created |
创建资源的标识类型。 |
Entity |
警报规则的单个实体映射 |
Entity |
映射实体的 V3 类型 |
Event |
事件分组聚合类型 |
Event |
事件分组设置属性包。 |
Field |
映射实体的单个字段映射 |
Fusion |
表示 Fusion 警报规则模板。 |
Microsoft |
表示 MicrosoftSecurityIncidentCreation 规则模板。 |
Microsoft |
将生成事例的警报的 productName |
Scheduled |
表示计划的警报规则模板。 |
system |
与资源的创建和上次修改相关的元数据。 |
Template |
警报规则模板状态。 |
Trigger |
针对触发警报规则的阈值的操作。 |
AlertDetailsOverride
有关如何动态替代警报静态详细信息的设置
名称 | 类型 | 说明 |
---|---|---|
alertDescriptionFormat |
string |
包含列名称 () 的格式,用于替代警报说明 |
alertDisplayNameFormat |
string |
包含列名称的格式, () 替代警报名称 |
alertDynamicProperties |
要替代的其他动态属性的列表 |
|
alertSeverityColumnName |
string |
要从中获取警报严重性的列名称 |
alertTacticsColumnName |
string |
要从中获取警报策略的列名称 |
AlertProperty
V3 警报属性
名称 | 类型 | 说明 |
---|---|---|
AlertLink |
string |
警报的链接 |
ConfidenceLevel |
string |
置信度属性 |
ConfidenceScore |
string |
置信度分数 |
ExtendedLinks |
string |
警报的扩展链接 |
ProductComponentName |
string |
产品组件名称警报属性 |
ProductName |
string |
产品名称警报属性 |
ProviderName |
string |
提供程序名称警报属性 |
RemediationSteps |
string |
修正步骤警报属性 |
Techniques |
string |
技术警报属性 |
AlertPropertyMapping
要替代的单个警报属性映射
名称 | 类型 | 说明 |
---|---|---|
alertProperty |
V3 警报属性 |
|
value |
string |
用于替代此属性的列名 |
AlertRuleTemplateDataSource
警报规则模板数据源
名称 | 类型 | 说明 |
---|---|---|
connectorId |
string |
提供以下数据类型的连接器 ID |
dataTypes |
string[] |
警报规则模板使用的数据类型 |
AlertSeverity
此警报规则创建的警报的严重性。
名称 | 类型 | 说明 |
---|---|---|
High |
string |
高严重性 |
Informational |
string |
信息严重性 |
Low |
string |
低严重性 |
Medium |
string |
中等严重性 |
AttackTactic
此警报规则创建的警报的严重性。
名称 | 类型 | 说明 |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
错误响应结构。
名称 | 类型 | 说明 |
---|---|---|
error |
错误数据 |
CloudErrorBody
错误详细信息。
名称 | 类型 | 说明 |
---|---|---|
code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
message |
string |
描述错误的消息,该消息适用于在用户界面中显示。 |
createdByType
创建资源的标识类型。
名称 | 类型 | 说明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
警报规则的单个实体映射
名称 | 类型 | 说明 |
---|---|---|
entityType |
映射实体的 V3 类型 |
|
fieldMappings |
给定实体映射的字段映射数组 |
EntityMappingType
映射实体的 V3 类型
名称 | 类型 | 说明 |
---|---|---|
Account |
string |
用户帐户实体类型 |
AzureResource |
string |
Azure 资源实体类型 |
CloudApplication |
string |
云应用实体类型 |
DNS |
string |
DNS 实体类型 |
File |
string |
系统文件实体类型 |
FileHash |
string |
文件哈希实体类型 |
Host |
string |
主机实体类型 |
IP |
string |
IP 地址实体类型 |
MailCluster |
string |
邮件群集实体类型 |
MailMessage |
string |
邮件实体类型 |
Mailbox |
string |
邮箱实体类型 |
Malware |
string |
恶意软件实体类型 |
Process |
string |
进程实体类型 |
RegistryKey |
string |
注册表项实体类型 |
RegistryValue |
string |
注册表值实体类型 |
SecurityGroup |
string |
安全组实体类型 |
SubmissionMail |
string |
提交邮件实体类型 |
URL |
string |
URL 实体类型 |
EventGroupingAggregationKind
事件分组聚合类型
名称 | 类型 | 说明 |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
事件分组设置属性包。
名称 | 类型 | 说明 |
---|---|---|
aggregationKind |
事件分组聚合类型 |
FieldMapping
映射实体的单个字段映射
名称 | 类型 | 说明 |
---|---|---|
columnName |
string |
要映射到标识符的列名 |
identifier |
string |
实体的 V3 标识符 |
FusionAlertRuleTemplate
表示 Fusion 警报规则模板。
名称 | 类型 | 说明 |
---|---|---|
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
警报规则类型 |
name |
string |
资源的名称 |
properties.alertRulesCreatedByTemplateCount |
integer |
此模板创建的警报规则数 |
properties.createdDateUTC |
string |
添加此警报规则模板的时间。 |
properties.description |
string |
警报规则模板的说明。 |
properties.displayName |
string |
警报规则模板的显示名称。 |
properties.lastUpdatedDateUTC |
string |
上次更新此警报规则模板的时间。 |
properties.requiredDataConnectors |
此模板所需的数据连接器 |
|
properties.severity |
此警报规则创建的警报的严重性。 |
|
properties.status |
警报规则模板状态。 |
|
properties.tactics |
警报规则模板的策略 |
|
properties.techniques |
string[] |
警报规则模板的技术 |
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
表示 MicrosoftSecurityIncidentCreation 规则模板。
名称 | 类型 | 说明 |
---|---|---|
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
警报规则类型 |
name |
string |
资源的名称 |
properties.alertRulesCreatedByTemplateCount |
integer |
此模板创建的警报规则数 |
properties.createdDateUTC |
string |
添加此警报规则模板的时间。 |
properties.description |
string |
警报规则模板的说明。 |
properties.displayName |
string |
警报规则模板的显示名称。 |
properties.displayNamesExcludeFilter |
string[] |
不会生成事例的警报的 displayNames |
properties.displayNamesFilter |
string[] |
将生成事例的警报的 displayNames |
properties.lastUpdatedDateUTC |
string |
上次更新此警报规则模板的时间。 |
properties.productFilter |
将生成事例的警报的 productName |
|
properties.requiredDataConnectors |
此模板所需的数据连接器 |
|
properties.severitiesFilter |
将生成事例的警报的严重性 |
|
properties.status |
警报规则模板状态。 |
|
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
MicrosoftSecurityProductName
将生成事例的警报的 productName
名称 | 类型 | 说明 |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
表示计划的警报规则模板。
名称 | 类型 | 说明 |
---|---|---|
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
警报规则类型 |
name |
string |
资源的名称 |
properties.alertDetailsOverride |
警报详细信息替代设置 |
|
properties.alertRulesCreatedByTemplateCount |
integer |
此模板创建的警报规则数 |
properties.createdDateUTC |
string |
添加此警报规则模板的时间。 |
properties.customDetails |
object |
要附加到警报的列的字符串键值对字典 |
properties.description |
string |
警报规则模板的说明。 |
properties.displayName |
string |
警报规则模板的显示名称。 |
properties.entityMappings |
警报规则的实体映射数组 |
|
properties.eventGroupingSettings |
事件分组设置。 |
|
properties.lastUpdatedDateUTC |
string |
上次更新此警报规则模板的时间。 |
properties.query |
string |
为此规则创建警报的查询。 |
properties.queryFrequency |
string |
) 运行此警报规则的频率 (ISO 8601 持续时间格式。 |
properties.queryPeriod |
string |
此警报规则) 以 ISO 8601 持续时间格式 (时间段。 |
properties.requiredDataConnectors |
此模板所需的数据连接器 |
|
properties.severity |
此警报规则创建的警报的严重性。 |
|
properties.status |
警报规则模板状态。 |
|
properties.tactics |
警报规则模板的策略 |
|
properties.techniques |
string[] |
警报规则模板的技术 |
properties.triggerOperator |
针对触发警报规则的阈值的操作。 |
|
properties.triggerThreshold |
integer |
阈值触发此警报规则。 |
properties.version |
string |
此模板的版本 - 格式 <为 a.b.c>,其中都是数字。 例如 <1.0.2>。 |
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
systemData
与资源的创建和上次修改相关的元数据。
名称 | 类型 | 说明 |
---|---|---|
createdAt |
string |
资源创建时间戳 (UTC) 。 |
createdBy |
string |
创建资源的标识。 |
createdByType |
创建资源的标识类型。 |
|
lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
lastModifiedBy |
string |
上次修改资源的标识。 |
lastModifiedByType |
上次修改资源的标识类型。 |
TemplateStatus
警报规则模板状态。
名称 | 类型 | 说明 |
---|---|---|
Available |
string |
警报规则模板可用。 |
Installed |
string |
已安装警报规则模板。 并且不能再使用一次 |
NotAvailable |
string |
警报规则模板不可用 |
TriggerOperator
针对触发警报规则的阈值的操作。
名称 | 类型 | 说明 |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |