Alert Rules - List

Získá všechna pravidla výstrahy.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2020-01-01

Parametry identifikátoru URI

Name In Required Type Description
resourceGroupName
path True
  • string

Název skupiny prostředků v rámci předplatného uživatele. V názvu se rozlišují malá a velká písmena.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True
  • string

ID předplatného Azure

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

workspaceName
path True
  • string

Název pracovního prostoru

api-version
query True
  • string

Verze rozhraní API pro operaci

Odpovědi

Name Type Description
200 OK

OK, operace byla úspěšně dokončena.

Other Status Codes

Chybová odezva popisující, proč se operace nezdařila

Zabezpečení

azure_auth

Azure Active Directory tok OAuth2

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation zosobnění uživatelského účtu

Příklady

Get all alert rules.

Sample Request

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2020-01-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Scheduled",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "alertRuleTemplateName": null,
        "displayName": "Rule2",
        "description": "",
        "severity": "High",
        "enabled": true,
        "tactics": [
          "Persistence",
          "LateralMovement"
        ],
        "query": "ProtectionStatus | extend HostCustomEntity = Computer | extend IPCustomEntity = ComputerIP_Hidden",
        "queryFrequency": "PT1H",
        "queryPeriod": "P2DT1H30M",
        "triggerOperator": "GreaterThan",
        "triggerThreshold": 0,
        "suppressionDuration": "PT1H",
        "suppressionEnabled": false,
        "lastModifiedUtc": "2019-01-01T13:15:30Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
      "name": "microsoftSecurityIncidentCreationRuleExample",
      "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "MicrosoftSecurityIncidentCreation",
      "properties": {
        "productFilter": "Microsoft Cloud App Security",
        "severitiesFilter": null,
        "displayNamesFilter": null,
        "displayName": "testing displayname",
        "enabled": true,
        "description": null,
        "alertRuleTemplateName": null,
        "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
      "name": "myFirstFusionRule",
      "etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Fusion",
      "properties": {
        "displayName": "Advanced Multi-Stage Attack Detection",
        "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
        "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
        "tactics": [
          "Persistence",
          "LateralMovement",
          "Exfiltration",
          "CommandAndControl"
        ],
        "severity": "High",
        "enabled": false,
        "lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
      }
    }
  ]
}

Definice

AlertRuleKind

Druh pravidla výstrahy

AlertRulesList

Vypíše všechna pravidla výstrah.

AlertSeverity

Závažnost výstrahy

CloudError

Chybná odpověď pro žádost o správu prostředků

ErrorAdditionalInfo

Další informace o chybě správy prostředků

ErrorResponse

Chybová odezva

FusionAlertRule

Reprezentuje pravidlo pro upozornění na fúze.

MicrosoftSecurityIncidentCreationAlertRule

Reprezentuje pravidlo MicrosoftSecurityIncidentCreation.

MicrosoftSecurityProductName

Oznámení "NázevVýrobku", na základě kterých budou případy vygenerovány

ScheduledAlertRule

Představuje naplánované pravidlo výstrahy.

TriggerOperator

Operace s prahovou hodnotou, která aktivuje pravidlo výstrahy.

AlertRuleKind

Druh pravidla výstrahy

Name Type Description
Fusion
  • string
MicrosoftSecurityIncidentCreation
  • string
Scheduled
  • string

AlertRulesList

Vypíše všechna pravidla výstrah.

Name Type Description
nextLink
  • string

Adresa URL pro načtení další sady pravidel upozornění

value AlertRule[]:

Pole pravidel upozornění

AlertSeverity

Závažnost výstrahy

Name Type Description
High
  • string

Vysoká závažnost

Informational
  • string

Informační závažnost

Low
  • string

Nízká závažnost

Medium
  • string

Střední závažnost

CloudError

Chybná odpověď pro žádost o správu prostředků

Name Type Description
error

Chybová odezva
Objekt Error odpovědi CloudError

ErrorAdditionalInfo

Další informace o chybě správy prostředků

Name Type Description
info
  • object

Další informace.

type
  • string

Další typ informací

ErrorResponse

Chybová odezva

Name Type Description
additionalInfo

Další informace o chybě.

code
  • string

Kód chyby

details

Podrobnosti o chybě

message
  • string

Chybová zpráva

target
  • string

Cílová chyba.

FusionAlertRule

Reprezentuje pravidlo pro upozornění na fúze.

Name Type Description
etag
  • string

Značka ETag prostředku Azure

id
  • string

ID prostředku Azure

kind string:
  • Fusion

Druh pravidla výstrahy

name
  • string

Název prostředku Azure

properties.alertRuleTemplateName
  • string

Název šablony pravidla výstrahy použité k vytvoření tohoto pravidla

properties.description
  • string

Popis pravidla výstrahy.

properties.displayName
  • string

Zobrazovaný název pro výstrahy vytvořené tímto pravidlem upozornění.

properties.enabled
  • boolean

Určuje, zda je toto pravidlo výstrahy povoleno nebo zakázáno.

properties.lastModifiedUtc
  • string

Čas poslední změny této výstrahy.

properties.severity

Závažnost pro výstrahy vytvořené tímto pravidlem upozornění.

properties.tactics
  • string[]

Taktiku pravidla výstrahy

type
  • string

Typ prostředku Azure

MicrosoftSecurityIncidentCreationAlertRule

Reprezentuje pravidlo MicrosoftSecurityIncidentCreation.

Name Type Description
etag
  • string

Značka ETag prostředku Azure

id
  • string

ID prostředku Azure

kind string:
  • MicrosoftSecurityIncidentCreation

Druh pravidla výstrahy

name
  • string

Název prostředku Azure

properties.alertRuleTemplateName
  • string

Název šablony pravidla výstrahy použité k vytvoření tohoto pravidla

properties.description
  • string

Popis pravidla výstrahy.

properties.displayName
  • string

Zobrazovaný název pro výstrahy vytvořené tímto pravidlem upozornění.

properties.displayNamesExcludeFilter
  • string[]

výstrahy ' displayNames, ve kterých se případy nevygenerují

properties.displayNamesFilter
  • string[]

výstrahy ' displayNames, na kterých budou vygenerovány případy

properties.enabled
  • boolean

Určuje, zda je toto pravidlo výstrahy povoleno nebo zakázáno.

properties.lastModifiedUtc
  • string

Čas poslední změny této výstrahy.

properties.productFilter

Oznámení "NázevVýrobku", na základě kterých budou případy vygenerovány

properties.severitiesFilter
  • string[]

závažnost upozornění, pro které budou případy vygenerovány

type
  • string

Typ prostředku Azure

MicrosoftSecurityProductName

Oznámení "NázevVýrobku", na základě kterých budou případy vygenerovány

Name Type Description
Azure Active Directory Identity Protection
  • string
Azure Advanced Threat Protection
  • string
Azure Security Center
  • string
Azure Security Center for IoT
  • string
Microsoft Cloud App Security
  • string

ScheduledAlertRule

Představuje naplánované pravidlo výstrahy.

Name Type Description
etag
  • string

Značka ETag prostředku Azure

id
  • string

ID prostředku Azure

kind string:
  • Scheduled

Druh pravidla výstrahy

name
  • string

Název prostředku Azure

properties.alertRuleTemplateName
  • string

Název šablony pravidla výstrahy použité k vytvoření tohoto pravidla

properties.description
  • string

Popis pravidla výstrahy.

properties.displayName
  • string

Zobrazovaný název pro výstrahy vytvořené tímto pravidlem upozornění.

properties.enabled
  • boolean

Určuje, zda je toto pravidlo výstrahy povoleno nebo zakázáno.

properties.lastModifiedUtc
  • string

Čas poslední úpravy tohoto pravidla upozornění

properties.query
  • string

Dotaz, který vytváří výstrahy pro toto pravidlo.

properties.queryFrequency
  • string

Frekvence (ve formátu ISO 8601 Duration) pro toto pravidlo upozornění, které se má spustit.

properties.queryPeriod
  • string

Doba (ve formátu ISO 8601 doba trvání), na kterou toto pravidlo výstrahy vyhledává.

properties.severity

Závažnost pro výstrahy vytvořené tímto pravidlem upozornění.

properties.suppressionDuration
  • string

Potlačení (ve formátu ISO 8601 Duration), které má počkat od posledního spuštění tohoto pravidla upozornění.

properties.suppressionEnabled
  • boolean

Určuje, jestli je potlačení pro toto pravidlo upozornění povolené nebo zakázané.

properties.tactics
  • string[]

Taktiku pravidla výstrahy

properties.triggerOperator

Operace s prahovou hodnotou, která aktivuje pravidlo výstrahy.

properties.triggerThreshold
  • integer

Prahová hodnota aktivuje toto pravidlo upozornění.

type
  • string

Typ prostředku Azure

TriggerOperator

Operace s prahovou hodnotou, která aktivuje pravidlo výstrahy.

Name Type Description
Equal
  • string
GreaterThan
  • string
LessThan
  • string
NotEqual
  • string