你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Alert Rule Templates - Get

参考

Service:: Sentinel

API Version:: 2024-03-01

获取警报规则模板。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01

URI 参数

名称	在	必需	类型	说明
alertRuleTemplateId	path	True	string	警报规则模板 ID
resourceGroupName	path	True	string	资源组的名称。此名称不区分大小写。
subscriptionId	path	True	string	目标订阅的 ID。
workspaceName	path	True	string	工作区的名称。 Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	要用于此操作的 API 版本。

响应

名称	类型	说明
200 OK	AlertRuleTemplate: FusionAlertRuleTemplate MicrosoftSecurityIncidentCreationAlertRuleTemplate ScheduledAlertRuleTemplate	确定，操作已成功完成
Other Status Codes	CloudError	描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称	说明
user_impersonation	模拟用户帐户

示例

Get alert rule template by Id.

Sample Request

HTTP

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01

Sample Response

Status code:: 200

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "type": "Microsoft.SecurityInsights/AlertRuleTemplates",
  "kind": "Scheduled",
  "properties": {
    "severity": "Low",
    "query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n    or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
    "queryFrequency": "P1D",
    "queryPeriod": "P1D",
    "triggerOperator": "GreaterThan",
    "triggerThreshold": 0,
    "displayName": "Changes to Amazon VPC settings",
    "description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
    "eventGroupingSettings": {
      "aggregationKind": "AlertPerResult"
    },
    "tactics": [
      "PrivilegeEscalation",
      "LateralMovement"
    ],
    "lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
    "createdDateUTC": "2019-02-27T00:00:00Z",
    "status": "Available",
    "version": "1.0.2",
    "requiredDataConnectors": [
      {
        "connectorId": "AWS",
        "dataTypes": [
          "AWSCloudTrail"
        ]
      }
    ],
    "entityMappings": [
      {
        "entityType": "Account",
        "fieldMappings": [
          {
            "identifier": "FullName",
            "columnName": "AccountCustomEntity"
          }
        ]
      },
      {
        "entityType": "IP",
        "fieldMappings": [
          {
            "identifier": "Address",
            "columnName": "IPCustomEntity"
          }
        ]
      }
    ],
    "customDetails": {
      "EventNames": "EventName",
      "EventTypes": "EventTypeName"
    },
    "alertDetailsOverride": {
      "alertDisplayNameFormat": "Alert on event {{EventName}}",
      "alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
      "alertTacticsColumnName": null,
      "alertSeverityColumnName": null
    },
    "alertRulesCreatedByTemplateCount": 0
  }
}

定义

名称	说明
AlertDetailsOverride	有关如何动态替代警报静态详细信息的设置
AlertProperty	V3 警报属性
AlertPropertyMapping	要替代的单个警报属性映射
AlertRuleTemplateDataSource	警报规则模板数据源
AlertSeverity	此警报规则创建的警报的严重性。
AttackTactic	此警报规则创建的警报的严重性。
CloudError	错误响应结构。
CloudErrorBody	错误详细信息。
createdByType	创建资源的标识类型。
EntityMapping	警报规则的单个实体映射
EntityMappingType	映射实体的 V3 类型
EventGroupingAggregationKind	事件分组聚合类型
EventGroupingSettings	事件分组设置属性包。
FieldMapping	映射实体的单个字段映射
FusionAlertRuleTemplate	表示 Fusion 警报规则模板。
MicrosoftSecurityIncidentCreationAlertRuleTemplate	表示 MicrosoftSecurityIncidentCreation 规则模板。
MicrosoftSecurityProductName	将生成事例的警报的 productName
ScheduledAlertRuleTemplate	表示计划的警报规则模板。
systemData	与资源的创建和上次修改相关的元数据。
TemplateStatus	警报规则模板状态。
TriggerOperator	针对触发警报规则的阈值的操作。

AlertDetailsOverride

有关如何动态替代警报静态详细信息的设置

名称	类型	说明
alertDescriptionFormat	string	包含列名称 () 的格式，用于替代警报说明
alertDisplayNameFormat	string	包含列名称的格式， () 替代警报名称
alertDynamicProperties	AlertPropertyMapping[]	要替代的其他动态属性的列表
alertSeverityColumnName	string	要从中获取警报严重性的列名称
alertTacticsColumnName	string	要从中获取警报策略的列名称

AlertProperty

V3 警报属性

名称	类型	说明
AlertLink	string	警报的链接
ConfidenceLevel	string	置信度属性
ConfidenceScore	string	置信度分数
ExtendedLinks	string	警报的扩展链接
ProductComponentName	string	产品组件名称警报属性
ProductName	string	产品名称警报属性
ProviderName	string	提供程序名称警报属性
RemediationSteps	string	修正步骤警报属性
Techniques	string	技术警报属性

AlertPropertyMapping

要替代的单个警报属性映射

名称	类型	说明
alertProperty	AlertProperty	V3 警报属性
value	string	用于替代此属性的列名

AlertRuleTemplateDataSource

警报规则模板数据源

名称	类型	说明
connectorId	string	提供以下数据类型的连接器 ID
dataTypes	string[]	警报规则模板使用的数据类型

AlertSeverity

此警报规则创建的警报的严重性。

名称	类型	说明
High	string	高严重性
Informational	string	信息严重性
Low	string	低严重性
Medium	string	中等严重性

AttackTactic

此警报规则创建的警报的严重性。

名称	类型	说明
Collection	string
CommandAndControl	string
CredentialAccess	string
DefenseEvasion	string
Discovery	string
Execution	string
Exfiltration	string
Impact	string
ImpairProcessControl	string
InhibitResponseFunction	string
InitialAccess	string
LateralMovement	string
Persistence	string
PreAttack	string
PrivilegeEscalation	string
Reconnaissance	string
ResourceDevelopment	string

CloudError

错误响应结构。

名称	类型	说明
error	CloudErrorBody	错误数据

CloudErrorBody

错误详细信息。

名称	类型	说明
code	string	错误的标识符。代码是固定的，旨在以编程方式使用。
message	string	描述错误的消息，该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称	类型	说明
Application	string
Key	string
ManagedIdentity	string
User	string

EntityMapping

警报规则的单个实体映射

名称	类型	说明
entityType	EntityMappingType	映射实体的 V3 类型
fieldMappings	FieldMapping[]	给定实体映射的字段映射数组

EntityMappingType

映射实体的 V3 类型

名称	类型	说明
Account	string	用户帐户实体类型
AzureResource	string	Azure 资源实体类型
CloudApplication	string	云应用实体类型
DNS	string	DNS 实体类型
File	string	系统文件实体类型
FileHash	string	文件哈希实体类型
Host	string	主机实体类型
IP	string	IP 地址实体类型
MailCluster	string	邮件群集实体类型
MailMessage	string	邮件实体类型
Mailbox	string	邮箱实体类型
Malware	string	恶意软件实体类型
Process	string	进程实体类型
RegistryKey	string	注册表项实体类型
RegistryValue	string	注册表值实体类型
SecurityGroup	string	安全组实体类型
SubmissionMail	string	提交邮件实体类型
URL	string	URL 实体类型

EventGroupingAggregationKind

事件分组聚合类型

名称	类型	说明
AlertPerResult	string
SingleAlert	string

EventGroupingSettings

事件分组设置属性包。

名称	类型	说明
aggregationKind	EventGroupingAggregationKind	事件分组聚合类型

FieldMapping

映射实体的单个字段映射

名称	类型	说明
columnName	string	要映射到标识符的列名
identifier	string	实体的 V3 标识符

FusionAlertRuleTemplate

表示 Fusion 警报规则模板。

名称	类型	说明
id	string	资源的完全限定的资源 ID。例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Fusion	警报规则类型
name	string	资源的名称
properties.alertRulesCreatedByTemplateCount	integer	此模板创建的警报规则数
properties.createdDateUTC	string	添加此警报规则模板的时间。
properties.description	string	警报规则模板的说明。
properties.displayName	string	警报规则模板的显示名称。
properties.lastUpdatedDateUTC	string	上次更新此警报规则模板的时间。
properties.requiredDataConnectors	AlertRuleTemplateDataSource[]	此模板所需的数据连接器
properties.severity	AlertSeverity	此警报规则创建的警报的严重性。
properties.status	TemplateStatus	警报规则模板状态。
properties.tactics	AttackTactic[]	警报规则模板的策略
properties.techniques	string[]	警报规则模板的技术
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源类型。例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MicrosoftSecurityIncidentCreationAlertRuleTemplate

表示 MicrosoftSecurityIncidentCreation 规则模板。

名称	类型	说明
id	string	资源的完全限定的资源 ID。例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: MicrosoftSecurityIncidentCreation	警报规则类型
name	string	资源的名称
properties.alertRulesCreatedByTemplateCount	integer	此模板创建的警报规则数
properties.createdDateUTC	string	添加此警报规则模板的时间。
properties.description	string	警报规则模板的说明。
properties.displayName	string	警报规则模板的显示名称。
properties.displayNamesExcludeFilter	string[]	不会生成事例的警报的 displayNames
properties.displayNamesFilter	string[]	将生成事例的警报的 displayNames
properties.lastUpdatedDateUTC	string	上次更新此警报规则模板的时间。
properties.productFilter	MicrosoftSecurityProductName	将生成事例的警报的 productName
properties.requiredDataConnectors	AlertRuleTemplateDataSource[]	此模板所需的数据连接器
properties.severitiesFilter	AlertSeverity[]	将生成事例的警报的严重性
properties.status	TemplateStatus	警报规则模板状态。
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源类型。例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

MicrosoftSecurityProductName

将生成事例的警报的 productName

名称	类型	说明
Azure Active Directory Identity Protection	string
Azure Advanced Threat Protection	string
Azure Security Center	string
Azure Security Center for IoT	string
Microsoft Cloud App Security	string

ScheduledAlertRuleTemplate

表示计划的警报规则模板。

名称	类型	说明
id	string	资源的完全限定的资源 ID。例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: Scheduled	警报规则类型
name	string	资源的名称
properties.alertDetailsOverride	AlertDetailsOverride	警报详细信息替代设置
properties.alertRulesCreatedByTemplateCount	integer	此模板创建的警报规则数
properties.createdDateUTC	string	添加此警报规则模板的时间。
properties.customDetails	object	要附加到警报的列的字符串键值对字典
properties.description	string	警报规则模板的说明。
properties.displayName	string	警报规则模板的显示名称。
properties.entityMappings	EntityMapping[]	警报规则的实体映射数组
properties.eventGroupingSettings	EventGroupingSettings	事件分组设置。
properties.lastUpdatedDateUTC	string	上次更新此警报规则模板的时间。
properties.query	string	为此规则创建警报的查询。
properties.queryFrequency	string	) 运行此警报规则的频率 (ISO 8601 持续时间格式。
properties.queryPeriod	string	此警报规则) 以 ISO 8601 持续时间格式 (时间段。
properties.requiredDataConnectors	AlertRuleTemplateDataSource[]	此模板所需的数据连接器
properties.severity	AlertSeverity	此警报规则创建的警报的严重性。
properties.status	TemplateStatus	警报规则模板状态。
properties.tactics	AttackTactic[]	警报规则模板的策略
properties.techniques	string[]	警报规则模板的技术
properties.triggerOperator	TriggerOperator	针对触发警报规则的阈值的操作。
properties.triggerThreshold	integer	阈值触发此警报规则。
properties.version	string	此模板的版本 - 格式 <为 a.b.c>，其中都是数字。例如 <1.0.2>。
systemData	systemData	包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type	string	资源类型。例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

systemData

与资源的创建和上次修改相关的元数据。

名称	类型	说明
createdAt	string	资源创建时间戳 (UTC) 。
createdBy	string	创建资源的标识。
createdByType	createdByType	创建资源的标识类型。
lastModifiedAt	string	资源上次修改的时间戳 (UTC)
lastModifiedBy	string	上次修改资源的标识。
lastModifiedByType	createdByType	上次修改资源的标识类型。

TemplateStatus

警报规则模板状态。

名称	类型	说明
Available	string	警报规则模板可用。
Installed	string	已安装警报规则模板。并且不能再使用一次
NotAvailable	string	警报规则模板不可用

TriggerOperator

针对触发警报规则的阈值的操作。

名称	类型	说明
Equal	string
GreaterThan	string
LessThan	string
NotEqual	string