az sentinel alert-rule

Uwaga

Ta dokumentacja jest częścią rozszerzenia sentinel dla interfejsu wiersza polecenia platformy Azure (wersja 2.11.0 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az sentinel alert-rule . Dowiedz się więcej o rozszerzeniach.

Reguła alertu usługi Sentinel.

Polecenia

az sentinel alert-rule create	Tworzy lub aktualizuje akcję reguły alertu. Utwórz regułę alertu.
az sentinel alert-rule delete	Usuń akcję reguły alertu. Usuń regułę alertu.
az sentinel alert-rule get-action	Pobiera akcję reguły alertu.
az sentinel alert-rule list	Pobiera wszystkie reguły alertów.
az sentinel alert-rule show	Pobiera regułę alertu.
az sentinel alert-rule update	Zaktualizuj regułę alertu.

az sentinel alert-rule create

Tworzy lub aktualizuje akcję reguły alertu. Utwórz regułę alertu.

az sentinel alert-rule create --resource-group
                              --rule-id
                              --workspace-name
                              [--action-id]
                              [--etag]
                              [--fusion-alert-rule]
                              [--logic-app-resource-id]
                              [--microsoft-security-incident-creation-alert-rule]
                              [--scheduled-alert-rule]
                              [--trigger-uri]

Przykłady

Tworzy lub aktualizuje akcję reguły alertu.

az sentinel alert-rule create --etag "{etag}" --logic-app-resource-id "/subscriptions/{subs}/resourceGroups/myRg/providers/Microsoft.Logic/workflows/MyAlerts" --trigger-uri "https://xxx.northcentralus.logic.azure.com:443/workflows/xxx/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=signature" --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Tworzy lub aktualizuje regułę alertu fusion.

az sentinel alert-rule create --fusion-alert-rule etag="{etag}" alert-rule-template-name="{name}" enabled=true --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"

Tworzy lub aktualizuje regułę MicrosoftSecurityIncidentCreation.

az sentinel alert-rule create --microsoft-security-incident-creation-alert-rule etag="{etag}" product-filter="Microsoft Cloud App Security" display-name="testing displayname" enabled=true --resource-group "myRg" --rule-id "microsoftSecurityIncidentCreationRuleExample" --workspace-name "myWorkspace"

Tworzy lub aktualizuje regułę alertu zaplanowanego.

az sentinel alert-rule create --scheduled-alert-rule etag="{etag}" query="ProtectionStatus | extend HostCustomEntity = Computer | extend IPCustomEntity = ComputerIP_Hidden" query-frequency="PT1H" query-period="P2DT1H30M" severity="High" trigger-operator="GreaterThan" trigger-threshold=0 description="" display-name="Rule2" enabled=true suppression-duration="PT1H" suppression-enabled=false tactics="Persistence" tactics="LateralMovement" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Parametry wymagane

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--rule-id

Identyfikator reguły alertu.

--workspace-name

Nazwa obszaru roboczego.

Parametry opcjonalne

--action-id

Identyfikator akcji.

--etag

Etag zasobu platformy Azure.

--fusion-alert-rule

Reprezentuje regułę alertu fusion.

--logic-app-resource-id

Identyfikator zasobu aplikacji logiki, /subscriptions/{my-subscription}/resourceGroups/{my-resource-group}/providers/Microsoft.Logic/workflows/{my-workflow-id}.

--microsoft-security-incident-creation-alert-rule

Reprezentuje regułę MicrosoftSecurityIncidentCreation.

--scheduled-alert-rule

Reprezentuje zaplanowaną regułę alertu.

--trigger-uri

Adres URL wywołania zwrotnego aplikacji logiki dla tego konkretnego przepływu pracy.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.

az sentinel alert-rule delete

Usuń akcję reguły alertu. Usuń regułę alertu.

az sentinel alert-rule delete --resource-group
                              --rule-id
                              --workspace-name
                              [--action-id]
                              [--yes]

Przykłady

Usuń akcję reguły alertu.

az sentinel alert-rule delete --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Usuń regułę alertu.

az sentinel alert-rule delete --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Parametry wymagane

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--rule-id

Identyfikator reguły alertu.

--workspace-name

Nazwa obszaru roboczego.

Parametry opcjonalne

--action-id

Identyfikator akcji.

--yes -y

Nie monituj o potwierdzenie.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.

az sentinel alert-rule get-action

Pobiera akcję reguły alertu.

az sentinel alert-rule get-action --action-id
                                  --resource-group
                                  --rule-id
                                  --workspace-name

Przykłady

Uzyskaj akcję reguły alertu.

az sentinel alert-rule get-action --action-id "{action-id}" --resource-group "myRg" --rule-id "{rule-id}" --workspace-name "myWorkspace"

Parametry wymagane

--action-id

Identyfikator akcji.

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--rule-id

Identyfikator reguły alertu.

--workspace-name

Nazwa obszaru roboczego.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.

az sentinel alert-rule list

Pobiera wszystkie reguły alertów.

az sentinel alert-rule list --resource-group
                            --workspace-name

Przykłady

Pobierz wszystkie reguły alertów.

az sentinel alert-rule list --resource-group "myRg" --workspace-name "myWorkspace"

Parametry wymagane

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--workspace-name

Nazwa obszaru roboczego.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.

az sentinel alert-rule show

Pobiera regułę alertu.

az sentinel alert-rule show --resource-group
                            --rule-id
                            --workspace-name

Przykłady

Pobierz regułę alertu.

az sentinel alert-rule show --resource-group "myRg" --rule-id "myFirstFusionRule" --workspace-name "myWorkspace"

Parametry wymagane

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--rule-id

Identyfikator reguły alertu.

--workspace-name

Nazwa obszaru roboczego.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.

az sentinel alert-rule update

Zaktualizuj regułę alertu.

az sentinel alert-rule update --resource-group
                              --rule-id
                              --workspace-name
                              [--add]
                              [--force-string]
                              [--fusion-alert-rule]
                              [--microsoft-security-incident-creation-alert-rule]
                              [--remove]
                              [--scheduled-alert-rule]
                              [--set]

Parametry wymagane

--resource-group -g

Nazwa grupy zasobów. Grupę domyślną można skonfigurować przy użyciu polecenia az configure --defaults group=<name>.

--rule-id

Identyfikator reguły alertu.

--workspace-name

Nazwa obszaru roboczego.

Parametry opcjonalne

--add

Dodaj obiekt do listy obiektów, określając pary ścieżki i wartości klucza. Przykład: --add property.listProperty <key=value, string lub JSON string>.

--force-string

W przypadku używania polecenia "set" lub "add" zachowaj literały ciągu zamiast próbować przekonwertować na kod JSON.

--fusion-alert-rule

Reprezentuje regułę alertu fusion.

--microsoft-security-incident-creation-alert-rule

Reprezentuje regułę MicrosoftSecurityIncidentCreation.

--remove

Usuń właściwość lub element z listy. Przykład: --remove property.list OR --remove propertyToRemove.

--scheduled-alert-rule

Reprezentuje zaplanowaną regułę alertu.

--set

Zaktualizuj obiekt, określając ścieżkę właściwości i wartość do ustawienia. Przykład: --set property1.property2=.

Parametry globalne

--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Możesz skonfigurować domyślną subskrypcję przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj polecenia --debug, aby uzyskać pełne dzienniki debugowania.