az sentinel alert-rule
Notitie
Deze verwijzing maakt deel uit van de Sentinel-extensie voor Azure CLI en vereist versie 2.11.0 of hoger. De extensie wordt automatisch geïnstalleerd wanneer u voor het eerst een opdracht az sentinel alert-rule hebt uitgevoerd. Meer informatie over extensies.
Sentinel-waarschuwingsregel.
Opdracht
| az sentinel alert-rule create |
Hiermee wordt de actie van de waarschuwingsregel gemaakt of bijgewerkt. En maak de waarschuwingsregel. |
| az sentinel alert-rule delete |
Verwijder de actie van de waarschuwingsregel. En verwijder de waarschuwingsregel. |
| az sentinel alert-rule get-action |
Haalt de actie van de waarschuwingsregel op. |
| az sentinel alert-rule list |
Haalt alle waarschuwingsregels op. |
| az sentinel alert-rule show |
Haalt de waarschuwingsregel op. |
| az sentinel alert-rule update |
Werk de waarschuwingsregel bij. |
az sentinel alert-rule create
Hiermee wordt de actie van de waarschuwingsregel gemaakt of bijgewerkt. En maak de waarschuwingsregel.
az sentinel alert-rule create --resource-group
--rule-id
--workspace-name
[--action-id]
[--etag]
[--fusion-alert-rule]
[--logic-app-resource-id]
[--microsoft-security-incident-creation-alert-rule]
[--scheduled-alert-rule]
[--trigger-uri]
Voorbeelden
Hiermee wordt een actie van een waarschuwingsregel gemaakt of bijgewerkt.
az sentinel alert-rule create --etag "{etag}" --logic-app-resource-id "/subscriptions/{subs}/resourceGroups/myRg/providers/Microsoft.Logic/workflows/MyAlerts" --trigger-uri "https://xxx.northcentralus.logic.azure.com:443/workflows/xxx/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=signature" --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"
Hiermee maakt of werkt u een Fusion-waarschuwingsregel bij.
az sentinel alert-rule create --fusion-alert-rule etag="{etag}" alert-rule-template-name="{name}" enabled=true --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"
Hiermee maakt of werkt u een MicrosoftSecurityIncidentCreation-regel bij.
az sentinel alert-rule create --microsoft-security-incident-creation-alert-rule etag="{etag}" product-filter="Microsoft Cloud App Security" display-name="testing displayname" enabled=true --resource-group "myRg" --rule-id "microsoftSecurityIncidentCreationRuleExample" --workspace-name "myWorkspace"
Hiermee maakt of werkt u een regel voor geplande waarschuwingen bij.
az sentinel alert-rule create --scheduled-alert-rule etag="{etag}" query="ProtectionStatus | extend HostCustomEntity = Computer | extend IPCustomEntity = ComputerIP_Hidden" query-frequency="PT1H" query-period="P2DT1H30M" severity="High" trigger-operator="GreaterThan" trigger-threshold=0 description="" display-name="Rule2" enabled=true suppression-duration="PT1H" suppression-enabled=false tactics="Persistence" tactics="LateralMovement" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"
Vereiste parameters
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
Waarschuwingsregel-id.
De naam van de werkruimte.
Optionele parameters
Actie-id.
Etag van de Azure-resource.
Staat voor de fusionwaarschuwingsregel.
Resource-id van logische app, /subscriptions/{my-subscription}/resourceGroups/{my-resource-group}/providers/Microsoft.Logic/workflows/{my-workflow-id}.
Vertegenwoordigt microsoftSecurityIncidentCreation-regel.
Vertegenwoordigt een geplande waarschuwingsregel.
Logic App Callback-URL voor deze specifieke werkstroom.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.
az sentinel alert-rule delete
Verwijder de actie van de waarschuwingsregel. En verwijder de waarschuwingsregel.
az sentinel alert-rule delete --resource-group
--rule-id
--workspace-name
[--action-id]
[--yes]
Voorbeelden
Verwijder een actie van de waarschuwingsregel.
az sentinel alert-rule delete --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"
Verwijder een waarschuwingsregel.
az sentinel alert-rule delete --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"
Vereiste parameters
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
Waarschuwingsregel-id.
De naam van de werkruimte.
Optionele parameters
Actie-id.
Niet vragen om bevestiging.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.
az sentinel alert-rule get-action
Haalt de actie van de waarschuwingsregel op.
az sentinel alert-rule get-action --action-id
--resource-group
--rule-id
--workspace-name
Voorbeelden
Een actie van de waarschuwingsregel ontvangen.
az sentinel alert-rule get-action --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"
Vereiste parameters
Actie-id.
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
Waarschuwingsregel-id.
De naam van de werkruimte.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.
az sentinel alert-rule list
Haalt alle waarschuwingsregels op.
az sentinel alert-rule list --resource-group
--workspace-name
Voorbeelden
Haal alle waarschuwingsregels op.
az sentinel alert-rule list --resource-group "myRg" --workspace-name "myWorkspace"
Vereiste parameters
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
De naam van de werkruimte.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.
az sentinel alert-rule show
Haalt de waarschuwingsregel op.
az sentinel alert-rule show --resource-group
--rule-id
--workspace-name
Voorbeelden
Een waarschuwingsregel ontvangen.
az sentinel alert-rule show --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"
Vereiste parameters
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
Waarschuwingsregel-id.
De naam van de werkruimte.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.
az sentinel alert-rule update
Werk de waarschuwingsregel bij.
az sentinel alert-rule update --resource-group
--rule-id
--workspace-name
[--add]
[--force-string]
[--fusion-alert-rule]
[--microsoft-security-incident-creation-alert-rule]
[--remove]
[--scheduled-alert-rule]
[--set]
Vereiste parameters
De naam van de resourcegroep. U kunt de standaardgroep configureren met az configure --defaults group=<name> behulp van .
Waarschuwingsregel-id.
De naam van de werkruimte.
Optionele parameters
Voeg een -object toe aan een lijst met objecten door een pad- en sleutelwaardeparen op te geven. Voorbeeld: --add property.listProperty <key=value, string of JSON string>.
Wanneer u 'set' of 'add' gebruikt, behoudt u letterlijke tekenreeksen in plaats van te proberen te converteren naar JSON.
Staat voor de fusionwaarschuwingsregel.
Vertegenwoordigt microsoftSecurityIncidentCreation-regel.
Verwijder een eigenschap of een element uit een lijst. Voorbeeld: --remove property.list OR --remove propertyToRemove.
Vertegenwoordigt een geplande waarschuwingsregel.
Werk een object bij door een eigenschapspad en waarde op te geven die moeten worden ingesteld. Voorbeeld: --set property1.property2=.
Vergroot de logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Laat dit Help-bericht zien en sluit af.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Vergroot de logboekregistratie. Gebruik --debug voor volledige logboeken voor foutopsporing.