Alert Rule Templates - Get
Obtiene la plantilla de regla de alertas.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates/{alertRuleTemplateId}?api-version=2024-03-01Parámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
alert
|
path | True |
string |
Identificador de plantilla de regla de alerta |
|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
|
subscription
|
path | True |
string |
Identificador de la suscripción de destino. |
|
workspace
|
path | True |
string |
El nombre del área de trabajo. Regex pattern: |
|
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK | AlertRuleTemplate: |
Correcto, operación completada correctamente |
| Other Status Codes |
Respuesta de error que describe el motivo del error de la operación. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Nombre | Description |
|---|---|
| user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get alert rule template by Id.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.2",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"entityMappings": [
{
"entityType": "Account",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "AccountCustomEntity"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "IPCustomEntity"
}
]
}
],
"customDetails": {
"EventNames": "EventName",
"EventTypes": "EventTypeName"
},
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert on event {{EventName}}",
"alertDescriptionFormat": "Suspicious activity was made by {{AccountCustomEntity}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"alertRulesCreatedByTemplateCount": 0
}
}Definiciones
| Nombre | Description |
|---|---|
|
Alert |
Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas |
|
Alert |
La propiedad de alerta V3 |
|
Alert |
Una única asignación de propiedades de alerta para invalidar |
|
Alert |
Orígenes de datos de plantilla de regla de alertas |
|
Alert |
Gravedad de las alertas creadas por esta regla de alertas. |
|
Attack |
Gravedad de las alertas creadas por esta regla de alertas. |
|
Cloud |
Estructura de respuesta de error. |
|
Cloud |
Detalles del error. |
|
created |
Tipo de identidad que creó el recurso. |
|
Entity |
Asignación de entidad única para la regla de alertas |
|
Entity |
El tipo V3 de la entidad asignada |
|
Event |
Tipos de agregación de agrupación de eventos |
|
Event |
Contenedor de propiedades de configuración de agrupación de eventos. |
|
Field |
Asignación de un solo campo de la entidad asignada |
|
Fusion |
Representa la plantilla de regla de alertas de Fusion. |
|
Microsoft |
Representa la plantilla de regla MicrosoftSecurityIncidentCreation. |
|
Microsoft |
ProductName de las alertas en las que se generarán los casos |
|
Scheduled |
Representa la plantilla de regla de alerta programada. |
|
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
|
Template |
Estado de la plantilla de regla de alerta. |
|
Trigger |
Operación con respecto al umbral que desencadena la regla de alertas. |
AlertDetailsOverride
Configuración de cómo invalidar dinámicamente los detalles estáticos de alertas
| Nombre | Tipo | Description |
|---|---|---|
| alertDescriptionFormat |
string |
el formato que contiene los nombres de las columnas para invalidar la descripción de la alerta. |
| alertDisplayNameFormat |
string |
el formato que contiene los nombres de las columnas para invalidar el nombre de la alerta. |
| alertDynamicProperties |
Lista de propiedades dinámicas adicionales que se van a invalidar |
|
| alertSeverityColumnName |
string |
el nombre de columna del que se va a tomar la gravedad de la alerta |
| alertTacticsColumnName |
string |
el nombre de columna del que se van a tomar las tácticas de alerta |
AlertProperty
La propiedad de alerta V3
| Nombre | Tipo | Description |
|---|---|---|
| AlertLink |
string |
Vínculo de la alerta |
| ConfidenceLevel |
string |
Propiedad de nivel de confianza |
| ConfidenceScore |
string |
Puntuación de confianza |
| ExtendedLinks |
string |
Vínculos extendidos a la alerta |
| ProductComponentName |
string |
Propiedad de alerta de nombre de componente de producto |
| ProductName |
string |
Propiedad de alerta de nombre de producto |
| ProviderName |
string |
Propiedad de alerta de nombre de proveedor |
| RemediationSteps |
string |
Propiedad de alerta de pasos de corrección |
| Techniques |
string |
Propiedad alert de técnicas |
AlertPropertyMapping
Una única asignación de propiedades de alerta para invalidar
| Nombre | Tipo | Description |
|---|---|---|
| alertProperty |
La propiedad de alerta V3 |
|
| value |
string |
el nombre de columna que se va a usar para invalidar esta propiedad |
AlertRuleTemplateDataSource
Orígenes de datos de plantilla de regla de alertas
| Nombre | Tipo | Description |
|---|---|---|
| connectorId |
string |
Identificador del conector que proporciona los siguientes tipos de datos |
| dataTypes |
string[] |
Los tipos de datos usados por la plantilla de regla de alertas |
AlertSeverity
Gravedad de las alertas creadas por esta regla de alertas.
| Nombre | Tipo | Description |
|---|---|---|
| High |
string |
Gravedad alta |
| Informational |
string |
Gravedad informativa |
| Low |
string |
Low severity |
| Medium |
string |
Gravedad media |
AttackTactic
Gravedad de las alertas creadas por esta regla de alertas.
| Nombre | Tipo | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Estructura de respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| error |
Datos inválidos |
CloudErrorBody
Detalles del error.
| Nombre | Tipo | Description |
|---|---|---|
| code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
| message |
string |
Mensaje que describe el error, diseñado para ser adecuado para su presentación en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
| Nombre | Tipo | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityMapping
Asignación de entidad única para la regla de alertas
| Nombre | Tipo | Description |
|---|---|---|
| entityType |
El tipo V3 de la entidad asignada |
|
| fieldMappings |
matriz de asignaciones de campos para la asignación de entidades especificada |
EntityMappingType
El tipo V3 de la entidad asignada
| Nombre | Tipo | Description |
|---|---|---|
| Account |
string |
Tipo de entidad de cuenta de usuario |
| AzureResource |
string |
Tipo de entidad de recurso de Azure |
| CloudApplication |
string |
Tipo de entidad de aplicación en la nube |
| DNS |
string |
Tipo de entidad DNS |
| File |
string |
Tipo de entidad de archivo del sistema |
| FileHash |
string |
Tipo de entidad file-hash |
| Host |
string |
Tipo de entidad host |
| IP |
string |
Tipo de entidad de dirección IP |
| MailCluster |
string |
Tipo de entidad de clúster de correo |
| MailMessage |
string |
Tipo de entidad de mensaje de correo |
| Mailbox |
string |
Tipo de entidad mailbox |
| Malware |
string |
Tipo de entidad malware |
| Process |
string |
Tipo de entidad de proceso |
| RegistryKey |
string |
Tipo de entidad de clave del Registro |
| RegistryValue |
string |
Tipo de entidad de valor del Registro |
| SecurityGroup |
string |
Tipo de entidad de grupo de seguridad |
| SubmissionMail |
string |
Tipo de entidad de correo de envío |
| URL |
string |
Tipo de entidad de dirección URL |
EventGroupingAggregationKind
Tipos de agregación de agrupación de eventos
| Nombre | Tipo | Description |
|---|---|---|
| AlertPerResult |
string |
|
| SingleAlert |
string |
EventGroupingSettings
Contenedor de propiedades de configuración de agrupación de eventos.
| Nombre | Tipo | Description |
|---|---|---|
| aggregationKind |
Tipos de agregación de agrupación de eventos |
FieldMapping
Asignación de un solo campo de la entidad asignada
| Nombre | Tipo | Description |
|---|---|---|
| columnName |
string |
el nombre de columna que se va a asignar al identificador |
| identifier |
string |
el identificador V3 de la entidad |
FusionAlertRuleTemplate
Representa la plantilla de regla de alertas de Fusion.
| Nombre | Tipo | Description |
|---|---|---|
| id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Fusion |
El tipo de regla de alerta |
| name |
string |
Nombre del recurso. |
| properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
| properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alerta. |
| properties.description |
string |
Descripción de la plantilla de regla de alertas. |
| properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
| properties.lastUpdatedDateUTC |
string |
Hora en que esta plantilla de regla de alertas se actualizó por última vez. |
| properties.requiredDataConnectors |
Los conectores de datos necesarios para esta plantilla |
|
| properties.severity |
Gravedad de las alertas creadas por esta regla de alertas. |
|
| properties.status |
Estado de la plantilla de regla de alerta. |
|
| properties.tactics |
Tácticas de la plantilla de regla de alertas |
|
| properties.techniques |
string[] |
Las técnicas de la plantilla de regla de alertas |
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
Representa la plantilla de regla MicrosoftSecurityIncidentCreation.
| Nombre | Tipo | Description |
|---|---|---|
| id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Microsoft |
El tipo de regla de alerta |
| name |
string |
Nombre del recurso. |
| properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
| properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alerta. |
| properties.description |
string |
Descripción de la plantilla de regla de alertas. |
| properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
| properties.displayNamesExcludeFilter |
string[] |
displayNames de las alertas en las que no se generarán los casos |
| properties.displayNamesFilter |
string[] |
displayNames de las alertas en las que se generarán los casos |
| properties.lastUpdatedDateUTC |
string |
Hora en que esta plantilla de regla de alertas se actualizó por última vez. |
| properties.productFilter |
ProductName de las alertas en las que se generarán los casos |
|
| properties.requiredDataConnectors |
Los conectores de datos necesarios para esta plantilla |
|
| properties.severitiesFilter |
gravedades de las alertas en las que se generarán los casos |
|
| properties.status |
Estado de la plantilla de regla de alerta. |
|
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
ProductName de las alertas en las que se generarán los casos
| Nombre | Tipo | Description |
|---|---|---|
| Azure Active Directory Identity Protection |
string |
|
| Azure Advanced Threat Protection |
string |
|
| Azure Security Center |
string |
|
| Azure Security Center for IoT |
string |
|
| Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
Representa la plantilla de regla de alerta programada.
| Nombre | Tipo | Description |
|---|---|---|
| id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Scheduled |
El tipo de regla de alerta |
| name |
string |
Nombre del recurso. |
| properties.alertDetailsOverride |
La configuración de invalidación de detalles de la alerta |
|
| properties.alertRulesCreatedByTemplateCount |
integer |
el número de reglas de alerta creadas por esta plantilla |
| properties.createdDateUTC |
string |
Hora a la que se ha agregado esta plantilla de regla de alerta. |
| properties.customDetails |
object |
Diccionario de pares clave-valor de cadena de columnas que se van a adjuntar a la alerta |
| properties.description |
string |
Descripción de la plantilla de regla de alertas. |
| properties.displayName |
string |
Nombre para mostrar de la plantilla de regla de alertas. |
| properties.entityMappings |
Matriz de las asignaciones de entidades de la regla de alerta |
|
| properties.eventGroupingSettings |
Configuración de agrupación de eventos. |
|
| properties.lastUpdatedDateUTC |
string |
Hora en que esta plantilla de regla de alertas se actualizó por última vez. |
| properties.query |
string |
Consulta que crea alertas para esta regla. |
| properties.queryFrequency |
string |
Frecuencia (en formato de duración ISO 8601) para que se ejecute esta regla de alerta. |
| properties.queryPeriod |
string |
El período (en formato de duración ISO 8601) que examina esta regla de alerta. |
| properties.requiredDataConnectors |
Los conectores de datos necesarios para esta plantilla |
|
| properties.severity |
Gravedad de las alertas creadas por esta regla de alertas. |
|
| properties.status |
Estado de la plantilla de regla de alerta. |
|
| properties.tactics |
Tácticas de la plantilla de regla de alertas |
|
| properties.techniques |
string[] |
Las técnicas de la plantilla de regla de alertas |
| properties.triggerOperator |
Operación con respecto al umbral que desencadena la regla de alertas. |
|
| properties.triggerThreshold |
integer |
El umbral desencadena esta regla de alerta. |
| properties.version |
string |
La versión de esta plantilla: en formato <a.b.c>, donde todos son números. Por ejemplo <, 1.0.2>. |
| systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
| type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |
TemplateStatus
Estado de la plantilla de regla de alerta.
| Nombre | Tipo | Description |
|---|---|---|
| Available |
string |
La plantilla de regla de alertas está disponible. |
| Installed |
string |
Plantilla de regla de alerta instalada. y no pueden usar más después una vez |
| NotAvailable |
string |
La plantilla de regla de alertas no está disponible |
TriggerOperator
Operación con respecto al umbral que desencadena la regla de alertas.
| Nombre | Tipo | Description |
|---|---|---|
| Equal |
string |
|
| GreaterThan |
string |
|
| LessThan |
string |
|
| NotEqual |
string |