az sentinel alert-rule

Notitie

Deze verwijzing maakt deel uit van de Sentinel-extensie voor Azure CLI en vereist versie 2.11.0 of hoger. De extensie wordt automatisch geïnstalleerd wanneer u voor het eerst een opdracht az sentinel alert-rule hebt uitgevoerd. Meer informatie over extensies.

Sentinel-waarschuwingsregel.

Opdracht

az sentinel alert-rule create

Hiermee wordt de actie van de waarschuwingsregel gemaakt of bijgewerkt. En maak de waarschuwingsregel.

az sentinel alert-rule delete

Verwijder de actie van de waarschuwingsregel. En verwijder de waarschuwingsregel.

az sentinel alert-rule get-action

Haalt de actie van de waarschuwingsregel op.

az sentinel alert-rule list

Haalt alle waarschuwingsregels op.

az sentinel alert-rule show

Haalt de waarschuwingsregel op.

az sentinel alert-rule update

Werk de waarschuwingsregel bij.

az sentinel alert-rule create

Hiermee wordt de actie van de waarschuwingsregel gemaakt of bijgewerkt. En maak de waarschuwingsregel.

az sentinel alert-rule create --resource-group
                              --rule-id
                              --workspace-name
                              [--action-id]
                              [--etag]
                              [--fusion-alert-rule]
                              [--logic-app-resource-id]
                              [--microsoft-security-incident-creation-alert-rule]
                              [--scheduled-alert-rule]
                              [--trigger-uri]

Voorbeelden

Hiermee wordt een actie van een waarschuwingsregel gemaakt of bijgewerkt.

az sentinel alert-rule create --etag "{etag}" --logic-app-resource-id "/subscriptions/{subs}/resourceGroups/myRg/providers/Microsoft.Logic/workflows/MyAlerts" --trigger-uri "https://xxx.northcentralus.logic.azure.com:443/workflows/xxx/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=signature" --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Hiermee maakt of werkt u een Fusion-waarschuwingsregel bij.

az sentinel alert-rule create --fusion-alert-rule etag="{etag}" alert-rule-template-name="{name}" enabled=true --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"

Hiermee maakt of werkt u een MicrosoftSecurityIncidentCreation-regel bij.

az sentinel alert-rule create --microsoft-security-incident-creation-alert-rule etag="{etag}" product-filter="Microsoft Cloud App Security" display-name="testing displayname" enabled=true --resource-group "myRg" --rule-id "microsoftSecurityIncidentCreationRuleExample" --workspace-name "myWorkspace"

Hiermee maakt of werkt u een regel voor geplande waarschuwingen bij.

az sentinel alert-rule create --scheduled-alert-rule etag="{etag}" query="ProtectionStatus | extend HostCustomEntity = Computer | extend IPCustomEntity = ComputerIP_Hidden" query-frequency="PT1H" query-period="P2DT1H30M" severity="High" trigger-operator="GreaterThan" trigger-threshold=0 description="" display-name="Rule2" enabled=true suppression-duration="PT1H" suppression-enabled=false tactics="Persistence" tactics="LateralMovement" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--rule-id

Waarschuwingsregel-id.

--workspace-name

De naam van de werkruimte.

Optionele parameters

--action-id

Actie-id.

--etag

Etag van de Azure-resource.

--fusion-alert-rule

Staat voor de fusionwaarschuwingsregel.

--logic-app-resource-id

Resource-id van logische app, /subscriptions/{my-subscription}/resourceGroups/{my-resource-group}/providers/Microsoft.Logic/workflows/{my-workflow-id}.

--microsoft-security-incident-creation-alert-rule

Vertegenwoordigt microsoftSecurityIncidentCreation-regel.

--scheduled-alert-rule

Vertegenwoordigt een geplande waarschuwingsregel.

--trigger-uri

Logic App Callback-URL voor deze specifieke werkstroom.

az sentinel alert-rule delete

Verwijder de actie van de waarschuwingsregel. En verwijder de waarschuwingsregel.

az sentinel alert-rule delete --resource-group
                              --rule-id
                              --workspace-name
                              [--action-id]
                              [--yes]

Voorbeelden

Verwijder een actie van de waarschuwingsregel.

az sentinel alert-rule delete --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Verwijder een waarschuwingsregel.

az sentinel alert-rule delete --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--rule-id

Waarschuwingsregel-id.

--workspace-name

De naam van de werkruimte.

Optionele parameters

--action-id

Actie-id.

--yes -y

Niet vragen om bevestiging.

az sentinel alert-rule get-action

Haalt de actie van de waarschuwingsregel op.

az sentinel alert-rule get-action --action-id
                                  --resource-group
                                  --rule-id
                                  --workspace-name

Voorbeelden

Een actie van de waarschuwingsregel ontvangen.

az sentinel alert-rule get-action --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Vereiste parameters

--action-id

Actie-id.

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--rule-id

Waarschuwingsregel-id.

--workspace-name

De naam van de werkruimte.

az sentinel alert-rule list

Haalt alle waarschuwingsregels op.

az sentinel alert-rule list --resource-group
                            --workspace-name

Voorbeelden

Haal alle waarschuwingsregels op.

az sentinel alert-rule list --resource-group "myRg" --workspace-name "myWorkspace"

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--workspace-name

De naam van de werkruimte.

az sentinel alert-rule show

Haalt de waarschuwingsregel op.

az sentinel alert-rule show --resource-group
                            --rule-id
                            --workspace-name

Voorbeelden

Een waarschuwingsregel ontvangen.

az sentinel alert-rule show --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--rule-id

Waarschuwingsregel-id.

--workspace-name

De naam van de werkruimte.

az sentinel alert-rule update

Werk de waarschuwingsregel bij.

az sentinel alert-rule update --resource-group
                              --rule-id
                              --workspace-name
                              [--add]
                              [--force-string]
                              [--fusion-alert-rule]
                              [--microsoft-security-incident-creation-alert-rule]
                              [--remove]
                              [--scheduled-alert-rule]
                              [--set]

Vereiste parameters

--resource-group -g

De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .

--rule-id

Waarschuwingsregel-id.

--workspace-name

De naam van de werkruimte.

Optionele parameters

--add

Voeg een -object toe aan een lijst met objecten door een pad- en sleutelwaardeparen op te geven. Voorbeeld: --add property.listProperty <key=value, string of JSON string>.

--force-string

Wanneer u 'set' of 'add' gebruikt, behoudt u letterlijke tekenreeksen in plaats van te proberen te converteren naar JSON.

--fusion-alert-rule

Staat voor de fusionwaarschuwingsregel.

--microsoft-security-incident-creation-alert-rule

Vertegenwoordigt microsoftSecurityIncidentCreation-regel.

--remove

Verwijder een eigenschap of een element uit een lijst. Voorbeeld: --remove property.list OR --remove propertyToRemove.

--scheduled-alert-rule

Vertegenwoordigt een geplande waarschuwingsregel.

--set

Werk een object bij door een eigenschapspad en waarde op te geven die moeten worden ingesteld. Voorbeeld: --set property1.property2=.