Alert Rule Templates - List
Obtém todos os modelos de regra de alerta.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01Parâmetros de URI
| Nome | Em | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
resource
|
path | True |
string |
O nome do grupo de recursos. O nome diferencia maiúsculas de minúsculas. |
|
subscription
|
path | True |
string |
A ID da assinatura de destino. |
|
workspace
|
path | True |
string |
O nome do workspace. Regex pattern: |
|
api-version
|
query | True |
string |
A versão da API a ser usada para esta operação. |
Respostas
| Nome | Tipo | Description |
|---|---|---|
| 200 OK |
OK, operação concluída com êxito |
|
| Other Status Codes |
Resposta de erro que descreve por que a operação falhou. |
Segurança
azure_auth
Fluxo do OAuth2 do Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| Nome | Description |
|---|---|
| user_impersonation | representar sua conta de usuário |
Exemplos
Get all alert rule templates.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.1",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/f71aba3d-28fb-450b-b192-4e76a83015c8",
"name": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "Place holder: Fusion uses graph powered machine learning algorithms to correlate between millions of lower fidelity anomalous activities from different products such as Azure AD Identity Protection, and Microsoft Cloud App Security, to combine them into a manageable number of interesting security cases.\n",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"lastUpdatedDateUTC": "2021-03-27T10:00:00Z",
"createdDateUTC": "2019-07-25T00:00:00Z",
"status": "Available",
"severity": "High",
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/b3cfc7c0-092c-481c-a55b-34a3979758cb",
"name": "b3cfc7c0-092c-481c-a55b-34a3979758cb",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"displayName": "Create incidents based on Microsoft Cloud App Security alerts",
"description": "Create incidents based on all alerts generated in Microsoft Cloud App Security",
"lastUpdatedDateUTC": "2021-05-27T10:00:00Z",
"createdDateUTC": "2019-07-16T00:00:00Z",
"status": "Available",
"alertRulesCreatedByTemplateCount": 0
}
}
]
}Definições
| Nome | Description |
|---|---|
|
Alert |
Configurações de como substituir dinamicamente detalhes estáticos do alerta |
|
Alert |
A propriedade de alerta V3 |
|
Alert |
Um único mapeamento de propriedade de alerta para substituir |
|
Alert |
fontes de dados do modelo de regra de alerta |
|
Alert |
Listar todos os modelos de regra de alerta. |
|
Alert |
A gravidade dos alertas criados por essa regra de alerta. |
|
Attack |
A gravidade dos alertas criados por essa regra de alerta. |
|
Cloud |
Estrutura de resposta de erro. |
|
Cloud |
Detalhes do erro. |
|
created |
O tipo de identidade que criou o recurso. |
|
Entity |
Mapeamento de entidade única para a regra de alerta |
|
Entity |
O tipo V3 da entidade mapeada |
|
Event |
Os tipos de agregação de agrupamento de eventos |
|
Event |
Recipiente de propriedades de configurações de agrupamento de eventos. |
|
Field |
Um único mapeamento de campo da entidade mapeada |
|
Fusion |
Representa o modelo de regra de alerta do Fusion. |
|
Microsoft |
Representa o modelo de regra MicrosoftSecurityIncidentCreation. |
|
Microsoft |
O productName dos alertas no qual os casos serão gerados |
|
Scheduled |
Representa o modelo de regra de alerta agendada. |
|
system |
Metadados relativos à criação e à última modificação do recurso. |
|
Template |
O modelo de regra de alerta status. |
|
Trigger |
A operação contra o limite que dispara a regra de alerta. |
AlertDetailsOverride
Configurações de como substituir dinamicamente detalhes estáticos do alerta
| Nome | Tipo | Description |
|---|---|---|
| alertDescriptionFormat |
string |
o formato que contém os nomes das colunas para substituir a descrição do alerta |
| alertDisplayNameFormat |
string |
o formato que contém os nomes das colunas para substituir o nome do alerta |
| alertDynamicProperties |
Lista de propriedades dinâmicas adicionais a serem substituídas |
|
| alertSeverityColumnName |
string |
o nome da coluna do qual tirar a gravidade do alerta |
| alertTacticsColumnName |
string |
o nome da coluna do qual usar as táticas de alerta |
AlertProperty
A propriedade de alerta V3
| Nome | Tipo | Description |
|---|---|---|
| AlertLink |
string |
Link do alerta |
| ConfidenceLevel |
string |
Propriedade de nível de confiança |
| ConfidenceScore |
string |
Pontuação de confiança |
| ExtendedLinks |
string |
Links estendidos para o alerta |
| ProductComponentName |
string |
Propriedade de alerta do nome do componente do produto |
| ProductName |
string |
Propriedade de alerta nome do produto |
| ProviderName |
string |
Propriedade de alerta nome do provedor |
| RemediationSteps |
string |
Propriedade de alerta das etapas de correção |
| Techniques |
string |
Propriedade de alerta técnicas |
AlertPropertyMapping
Um único mapeamento de propriedade de alerta para substituir
| Nome | Tipo | Description |
|---|---|---|
| alertProperty |
A propriedade de alerta V3 |
|
| value |
string |
o nome da coluna a ser usado para substituir essa propriedade |
AlertRuleTemplateDataSource
fontes de dados do modelo de regra de alerta
| Nome | Tipo | Description |
|---|---|---|
| connectorId |
string |
A ID do conector que fornece os seguintes tipos de dados |
| dataTypes |
string[] |
Os tipos de dados usados pelo modelo de regra de alerta |
AlertRuleTemplatesList
Listar todos os modelos de regra de alerta.
| Nome | Tipo | Description |
|---|---|---|
| nextLink |
string |
URL para buscar o próximo conjunto de modelos de regra de alerta. |
| value | AlertRuleTemplate[]: |
Matriz de modelos de regra de alerta. |
AlertSeverity
A gravidade dos alertas criados por essa regra de alerta.
| Nome | Tipo | Description |
|---|---|---|
| High |
string |
Severidade alta |
| Informational |
string |
Severidade informativa |
| Low |
string |
Severidade baixa |
| Medium |
string |
Severidade média |
AttackTactic
A gravidade dos alertas criados por essa regra de alerta.
| Nome | Tipo | Description |
|---|---|---|
| Collection |
string |
|
| CommandAndControl |
string |
|
| CredentialAccess |
string |
|
| DefenseEvasion |
string |
|
| Discovery |
string |
|
| Execution |
string |
|
| Exfiltration |
string |
|
| Impact |
string |
|
| ImpairProcessControl |
string |
|
| InhibitResponseFunction |
string |
|
| InitialAccess |
string |
|
| LateralMovement |
string |
|
| Persistence |
string |
|
| PreAttack |
string |
|
| PrivilegeEscalation |
string |
|
| Reconnaissance |
string |
|
| ResourceDevelopment |
string |
CloudError
Estrutura de resposta de erro.
| Nome | Tipo | Description |
|---|---|---|
| error |
Dados do erro |
CloudErrorBody
Detalhes do erro.
| Nome | Tipo | Description |
|---|---|---|
| code |
string |
Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente. |
| message |
string |
Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário. |
createdByType
O tipo de identidade que criou o recurso.
| Nome | Tipo | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
EntityMapping
Mapeamento de entidade única para a regra de alerta
| Nome | Tipo | Description |
|---|---|---|
| entityType |
O tipo V3 da entidade mapeada |
|
| fieldMappings |
matriz de mapeamentos de campo para o mapeamento de entidade especificado |
EntityMappingType
O tipo V3 da entidade mapeada
| Nome | Tipo | Description |
|---|---|---|
| Account |
string |
Tipo de entidade de conta de usuário |
| AzureResource |
string |
Tipo de entidade de recurso do Azure |
| CloudApplication |
string |
Tipo de entidade de aplicativo de nuvem |
| DNS |
string |
Tipo de entidade DNS |
| File |
string |
Tipo de entidade de arquivo do sistema |
| FileHash |
string |
Tipo de entidade de hash de arquivo |
| Host |
string |
Tipo de entidade de host |
| IP |
string |
Tipo de entidade de endereço IP |
| MailCluster |
string |
Tipo de entidade de cluster de email |
| MailMessage |
string |
Tipo de entidade de mensagem de email |
| Mailbox |
string |
Tipo de entidade de caixa de correio |
| Malware |
string |
Tipo de entidade de malware |
| Process |
string |
Tipo de entidade de processo |
| RegistryKey |
string |
Tipo de entidade de chave do Registro |
| RegistryValue |
string |
Tipo de entidade de valor do Registro |
| SecurityGroup |
string |
Tipo de entidade de grupo de segurança |
| SubmissionMail |
string |
Tipo de entidade de email de envio |
| URL |
string |
Tipo de entidade de URL |
EventGroupingAggregationKind
Os tipos de agregação de agrupamento de eventos
| Nome | Tipo | Description |
|---|---|---|
| AlertPerResult |
string |
|
| SingleAlert |
string |
EventGroupingSettings
Recipiente de propriedades de configurações de agrupamento de eventos.
| Nome | Tipo | Description |
|---|---|---|
| aggregationKind |
Os tipos de agregação de agrupamento de eventos |
FieldMapping
Um único mapeamento de campo da entidade mapeada
| Nome | Tipo | Description |
|---|---|---|
| columnName |
string |
o nome da coluna a ser mapeado para o identificador |
| identifier |
string |
o identificador V3 da entidade |
FusionAlertRuleTemplate
Representa o modelo de regra de alerta do Fusion.
| Nome | Tipo | Description |
|---|---|---|
| id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Fusion |
O tipo de regra de alerta |
| name |
string |
O nome do recurso |
| properties.alertRulesCreatedByTemplateCount |
integer |
o número de regras de alerta que foram criadas por este modelo |
| properties.createdDateUTC |
string |
A hora em que esse modelo de regra de alerta foi adicionado. |
| properties.description |
string |
A descrição do modelo de regra de alerta. |
| properties.displayName |
string |
O nome de exibição do modelo de regra de alerta. |
| properties.lastUpdatedDateUTC |
string |
A hora em que esse modelo de regra de alerta foi atualizado pela última vez. |
| properties.requiredDataConnectors |
Os conectores de dados necessários para este modelo |
|
| properties.severity |
A gravidade dos alertas criados por essa regra de alerta. |
|
| properties.status |
O modelo de regra de alerta status. |
|
| properties.tactics |
As táticas do modelo de regra de alerta |
|
| properties.techniques |
string[] |
As técnicas do modelo de regra de alerta |
| systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
| type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
Representa o modelo de regra MicrosoftSecurityIncidentCreation.
| Nome | Tipo | Description |
|---|---|---|
| id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Microsoft |
O tipo de regra de alerta |
| name |
string |
O nome do recurso |
| properties.alertRulesCreatedByTemplateCount |
integer |
o número de regras de alerta que foram criadas por este modelo |
| properties.createdDateUTC |
string |
A hora em que esse modelo de regra de alerta foi adicionado. |
| properties.description |
string |
A descrição do modelo de regra de alerta. |
| properties.displayName |
string |
O nome de exibição do modelo de regra de alerta. |
| properties.displayNamesExcludeFilter |
string[] |
displayNames dos alertas nos quais os casos não serão gerados |
| properties.displayNamesFilter |
string[] |
displayNames dos alertas nos quais os casos serão gerados |
| properties.lastUpdatedDateUTC |
string |
A hora em que esse modelo de regra de alerta foi atualizado pela última vez. |
| properties.productFilter |
O productName dos alertas no qual os casos serão gerados |
|
| properties.requiredDataConnectors |
Os conectores de dados necessários para este modelo |
|
| properties.severitiesFilter |
as severidades dos alertas nas quais os casos serão gerados |
|
| properties.status |
O modelo de regra de alerta status. |
|
| systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
| type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
O productName dos alertas no qual os casos serão gerados
| Nome | Tipo | Description |
|---|---|---|
| Azure Active Directory Identity Protection |
string |
|
| Azure Advanced Threat Protection |
string |
|
| Azure Security Center |
string |
|
| Azure Security Center for IoT |
string |
|
| Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
Representa o modelo de regra de alerta agendada.
| Nome | Tipo | Description |
|---|---|---|
| id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| kind |
string:
Scheduled |
O tipo de regra de alerta |
| name |
string |
O nome do recurso |
| properties.alertDetailsOverride |
Os detalhes do alerta substituem as configurações |
|
| properties.alertRulesCreatedByTemplateCount |
integer |
o número de regras de alerta que foram criadas por este modelo |
| properties.createdDateUTC |
string |
A hora em que esse modelo de regra de alerta foi adicionado. |
| properties.customDetails |
object |
Dicionário de pares chave-valor de cadeia de caracteres de colunas a serem anexadas ao alerta |
| properties.description |
string |
A descrição do modelo de regra de alerta. |
| properties.displayName |
string |
O nome de exibição do modelo de regra de alerta. |
| properties.entityMappings |
Matriz dos mapeamentos de entidade da regra de alerta |
|
| properties.eventGroupingSettings |
As configurações de agrupamento de eventos. |
|
| properties.lastUpdatedDateUTC |
string |
A hora em que esse modelo de regra de alerta foi atualizado pela última vez. |
| properties.query |
string |
A consulta que cria alertas para essa regra. |
| properties.queryFrequency |
string |
A frequência (no formato de duração ISO 8601) para que essa regra de alerta seja executada. |
| properties.queryPeriod |
string |
O período (no formato de duração ISO 8601) que essa regra de alerta examina. |
| properties.requiredDataConnectors |
Os conectores de dados necessários para este modelo |
|
| properties.severity |
A gravidade dos alertas criados por essa regra de alerta. |
|
| properties.status |
O modelo de regra de alerta status. |
|
| properties.tactics |
As táticas do modelo de regra de alerta |
|
| properties.techniques |
string[] |
As técnicas do modelo de regra de alerta |
| properties.triggerOperator |
A operação contra o limite que dispara a regra de alerta. |
|
| properties.triggerThreshold |
integer |
O limite dispara essa regra de alerta. |
| properties.version |
string |
A versão deste modelo – no formato <a.b.c>, em que todos são números. Por exemplo <, 1.0.2>. |
| systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
| type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
systemData
Metadados relativos à criação e à última modificação do recurso.
| Nome | Tipo | Description |
|---|---|---|
| createdAt |
string |
O carimbo de data/hora da criação de recursos (UTC). |
| createdBy |
string |
A identidade que criou o recurso. |
| createdByType |
O tipo de identidade que criou o recurso. |
|
| lastModifiedAt |
string |
O carimbo de data/hora da última modificação do recurso (UTC) |
| lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
| lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |
TemplateStatus
O modelo de regra de alerta status.
| Nome | Tipo | Description |
|---|---|---|
| Available |
string |
O modelo de regra de alerta está disponível. |
| Installed |
string |
Modelo de regra de alerta instalado. e não pode usar mais de uma vez |
| NotAvailable |
string |
O modelo de regra de alerta não está disponível |
TriggerOperator
A operação contra o limite que dispara a regra de alerta.
| Nome | Tipo | Description |
|---|---|---|
| Equal |
string |
|
| GreaterThan |
string |
|
| LessThan |
string |
|
| NotEqual |
string |