你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Alert Rule Templates - Get

获取警报规则模板。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2021-10-01

URI 参数

Name In Required Type Description
alertRuleTemplateId
path True
  • string

警报规则模板 ID

resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

workspaceName
path True
  • string

工作区的名称。

api-version
query True
  • string

要用于此操作的 API 版本。

响应

Name Type Description
200 OK AlertRuleTemplate:

正常,操作成功完成

Other Status Codes

描述操作失败的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Get alert rule template by Id.

Sample Request

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2021-10-01

Sample Response

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
  "type": "Microsoft.SecurityInsights/AlertRuleTemplates",
  "kind": "Scheduled",
  "properties": {
    "severity": "Low",
    "query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n    or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
    "queryFrequency": "P1D",
    "queryPeriod": "P1D",
    "triggerOperator": "GreaterThan",
    "triggerThreshold": 0,
    "displayName": "Changes to Amazon VPC settings",
    "description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
    "eventGroupingSettings": {
      "aggregationKind": "AlertPerResult"
    },
    "tactics": [
      "PrivilegeEscalation",
      "LateralMovement"
    ],
    "lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
    "createdDateUTC": "2019-02-27T00:00:00Z",
    "status": "Available",
    "version": "1.0.2",
    "requiredDataConnectors": [
      {
        "connectorId": "AWS",
        "dataTypes": [
          "AWSCloudTrail"
        ]
      }
    ],
    "entityMappings": [
      {
        "entityType": "Account",
        "fieldMappings": [
          {
            "identifier": "FullName",
            "columnName": "AccountCustomEntity"
          }
        ]
      },
      {
        "entityType": "IP",
        "fieldMappings": [
          {
            "identifier": "Address",
            "columnName": "IPCustomEntity"
          }
        ]
      }
    ],
    "customDetails": {
      "EventNames": "EventName",
      "EventTypes": "EventTypeName"
    },
    "alertDetailsOverride": {
      "alertDisplayNameFormat": "Alert on event {{EventName}}",
      "alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
      "alertTacticsColumnName": null,
      "alertSeverityColumnName": null
    },
    "alertRulesCreatedByTemplateCount": 0
  }
}

定义

AlertDetailsOverride

有关如何动态替代警报静态详细信息的设置

AlertRuleTemplateDataSource

警报规则模板数据源

AlertSeverity

此警报规则创建的警报的严重性。

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识的类型。

EntityMapping

警报规则的单个实体映射

EntityMappingType

映射实体的 V3 类型

EventGroupingAggregationKind

事件分组聚合类型

EventGroupingSettings

事件分组设置属性包。

FieldMapping

映射实体的单个字段映射

FusionAlertRuleTemplate

表示 Fusion 警报规则模板。

MicrosoftSecurityIncidentCreationAlertRuleTemplate

表示 MicrosoftSecurityIncidentCreation 规则模板。

MicrosoftSecurityProductName

将为其生成事例的警报 productName

ScheduledAlertRuleTemplate

表示计划的警报规则模板。

systemData

与创建和上次修改资源相关的元数据。

TemplateStatus

警报规则模板状态。

TriggerOperator

针对触发警报规则的阈值的操作。

AlertDetailsOverride

有关如何动态替代警报静态详细信息的设置

Name Type Description
alertDescriptionFormat
  • string

包含列名称的格式 (s) 以替代警报说明

alertDisplayNameFormat
  • string

包含列名称的格式 (s) 重写警报名称

alertSeverityColumnName
  • string

要从中获取警报严重性的列名称

alertTacticsColumnName
  • string

要从中获取警报策略的列名称

AlertRuleTemplateDataSource

警报规则模板数据源

Name Type Description
connectorId
  • string

提供以下数据类型的连接器 ID

dataTypes
  • string[]

警报规则模板使用的数据类型

AlertSeverity

此警报规则创建的警报的严重性。

Name Type Description
High
  • string

高严重性

Informational
  • string

信息严重性

Low
  • string

低严重性

Medium
  • string

中等严重性

CloudError

错误响应结构。

Name Type Description
error

错误数据

CloudErrorBody

错误详细信息。

Name Type Description
code
  • string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message
  • string

描述错误的消息,旨在适合在用户界面中显示。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

EntityMapping

警报规则的单个实体映射

Name Type Description
entityType

映射实体的 V3 类型

fieldMappings

给定实体映射的字段映射数组

EntityMappingType

映射实体的 V3 类型

Name Type Description
Account
  • string

用户帐户实体类型

AzureResource
  • string

Azure 资源实体类型

CloudApplication
  • string

云应用实体类型

DNS
  • string

DNS 实体类型

File
  • string

系统文件实体类型

FileHash
  • string

文件哈希实体类型

Host
  • string

主机实体类型

IP
  • string

IP 地址实体类型

MailCluster
  • string

邮件群集实体类型

MailMessage
  • string

邮件实体类型

Mailbox
  • string

邮箱实体类型

Malware
  • string

恶意软件实体类型

Process
  • string

处理实体类型

RegistryKey
  • string

注册表项实体类型

RegistryValue
  • string

注册表值实体类型

SecurityGroup
  • string

安全组实体类型

SubmissionMail
  • string

提交邮件实体类型

URL
  • string

URL 实体类型

EventGroupingAggregationKind

事件分组聚合类型

Name Type Description
AlertPerResult
  • string
SingleAlert
  • string

EventGroupingSettings

事件分组设置属性包。

Name Type Description
aggregationKind

事件分组聚合类型

FieldMapping

映射实体的单个字段映射

Name Type Description
columnName
  • string

要映射到标识符的列名

identifier
  • string

实体的 V3 标识符

FusionAlertRuleTemplate

表示 Fusion 警报规则模板。

Name Type Description
id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • Fusion

警报规则类型

name
  • string

资源的名称

properties.alertRulesCreatedByTemplateCount
  • integer

此模板创建的警报规则数

properties.createdDateUTC
  • string

添加此警报规则模板的时间。

properties.description
  • string

警报规则模板的说明。

properties.displayName
  • string

警报规则模板的显示名称。

properties.lastUpdatedDateUTC
  • string

上次更新此警报规则模板的时间。

properties.requiredDataConnectors

此模板所需的数据连接器

properties.severity

此警报规则创建的警报的严重性。

properties.status

警报规则模板状态。

properties.tactics
  • string[]

警报规则模板的策略

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft”。存储/storageAccounts”

MicrosoftSecurityIncidentCreationAlertRuleTemplate

表示 MicrosoftSecurityIncidentCreation 规则模板。

Name Type Description
id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • MicrosoftSecurityIncidentCreation

警报规则类型

name
  • string

资源的名称

properties.alertRulesCreatedByTemplateCount
  • integer

此模板创建的警报规则数

properties.createdDateUTC
  • string

添加此警报规则模板的时间。

properties.description
  • string

警报规则模板的说明。

properties.displayName
  • string

警报规则模板的显示名称。

properties.displayNamesExcludeFilter
  • string[]

警报的 displayNames,不生成事例

properties.displayNamesFilter
  • string[]

将为其生成事例的 alerts'displayNames

properties.lastUpdatedDateUTC
  • string

上次更新此警报规则模板的时间。

properties.productFilter

将为其生成事例的警报 productName

properties.requiredDataConnectors

此模板所需的数据连接器

properties.severitiesFilter
  • string[]

将为其生成事例的警报严重性

properties.status

警报规则模板状态。

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft”。存储/storageAccounts”

MicrosoftSecurityProductName

将为其生成事例的警报 productName

Name Type Description
Azure Active Directory Identity Protection
  • string
Azure Advanced Threat Protection
  • string
Azure Security Center
  • string
Azure Security Center for IoT
  • string
Microsoft Cloud App Security
  • string

ScheduledAlertRuleTemplate

表示计划的警报规则模板。

Name Type Description
id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • Scheduled

警报规则类型

name
  • string

资源的名称

properties.alertDetailsOverride

警报详细信息替代设置

properties.alertRulesCreatedByTemplateCount
  • integer

此模板创建的警报规则数

properties.createdDateUTC
  • string

添加此警报规则模板的时间。

properties.customDetails
  • object

要附加到警报的列的字符串键值对字典

properties.description
  • string

警报规则模板的说明。

properties.displayName
  • string

警报规则模板的显示名称。

properties.entityMappings

警报规则的实体映射数组

properties.eventGroupingSettings

事件分组设置。

properties.lastUpdatedDateUTC
  • string

上次更新此警报规则模板的时间。

properties.query
  • string

为此规则创建警报的查询。

properties.queryFrequency
  • string

此警报规则运行的频率 (ISO 8601 持续时间格式) 。

properties.queryPeriod
  • string

此警报规则查看的周期 (ISO 8601 持续时间格式) 。

properties.requiredDataConnectors

此模板所需的数据连接器

properties.severity

此警报规则创建的警报的严重性。

properties.status

警报规则模板状态。

properties.tactics
  • string[]

警报规则模板的策略

properties.triggerOperator

针对触发警报规则的阈值的操作。

properties.triggerThreshold
  • integer

阈值触发此警报规则。

properties.version
  • string

此模板的版本 - 格式 <为 a.b.c>,其中所有为数字。 例如 <1.0.2>。

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft”。存储/storageAccounts”

systemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。

TemplateStatus

警报规则模板状态。

Name Type Description
Available
  • string

警报规则模板可用。

Installed
  • string

已安装警报规则模板。 并且不能再使用一次

NotAvailable
  • string

警报规则模板不可用

TriggerOperator

针对触发警报规则的阈值的操作。

Name Type Description
Equal
  • string
GreaterThan
  • string
LessThan
  • string
NotEqual
  • string