Alert Rules - Get
Obtém a regra de alerta.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2024-03-01
Parâmetros de URI
Nome | Em | Obrigatório | Tipo | Description |
---|---|---|---|---|
resource
|
path | True |
string |
O nome do grupo de recursos. O nome diferencia maiúsculas de minúsculas. |
rule
|
path | True |
string |
ID da regra de alerta |
subscription
|
path | True |
string |
A ID da assinatura de destino. |
workspace
|
path | True |
string |
O nome do workspace. Regex pattern: |
api-version
|
query | True |
string |
A versão da API a ser usada para esta operação. |
Respostas
Nome | Tipo | Description |
---|---|---|
200 OK | AlertRule: |
OK, operação concluída com êxito |
Other Status Codes |
Resposta de erro que descreve por que a operação falhou. |
Segurança
azure_auth
Fluxo do OAuth2 do Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nome | Description |
---|---|
user_impersonation | representar sua conta de usuário |
Exemplos
Get a Fusion alert rule. |
Get a Microsoft |
Get a Scheduled alert rule. |
Get a Fusion alert rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"260090e2-0000-0d00-0000-5d6fb8670000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": true,
"lastModifiedUtc": "2019-09-04T13:13:11.5340061Z"
}
}
Get a MicrosoftSecurityIncidentCreation rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
}
Get a Scheduled alert rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2019-01-01T13:15:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
}
Definições
Nome | Description |
---|---|
Alert |
Uma lista de detalhes de alerta a serem agrupados por (quando matchingMethod é Selecionado) |
Alert |
Configurações de como substituir dinamicamente os detalhes estáticos do alerta |
Alert |
A propriedade de alerta V3 |
Alert |
Um único mapeamento de propriedade de alerta para substituir |
Alert |
A gravidade dos alertas criados por essa regra de alerta. |
Attack |
A gravidade dos alertas criados por essa regra de alerta. |
Cloud |
Estrutura de resposta de erro. |
Cloud |
Detalhes do erro. |
created |
O tipo de identidade que criou o recurso. |
Entity |
Mapeamento de entidade única para a regra de alerta |
Entity |
O tipo V3 da entidade mapeada |
Event |
Os tipos de agregação de agrupamento de eventos |
Event |
Recipiente de propriedades de configurações de agrupamento de eventos. |
Field |
Um único mapeamento de campo da entidade mapeada |
Fusion |
Representa a regra de alerta do Fusion. |
Grouping |
Pacote de propriedades de configuração de agrupamento. |
Incident |
Recipiente de propriedades de Configuração de Incidentes. |
Matching |
Método de correspondência de agrupamento. Quando o método é Selecionado pelo menos um de groupByEntities, groupByAlertDetails, groupByCustomDetails deve ser fornecido e não vazio. |
Microsoft |
Representa a regra MicrosoftSecurityIncidentCreation. |
Microsoft |
O productName dos alertas no qual os casos serão gerados |
Scheduled |
Representa a regra de alerta agendada. |
system |
Metadados relativos à criação e à última modificação do recurso. |
Trigger |
A operação contra o limite que dispara a regra de alerta. |
AlertDetail
Uma lista de detalhes de alerta a serem agrupados por (quando matchingMethod é Selecionado)
Nome | Tipo | Description |
---|---|---|
DisplayName |
string |
Nome de exibição do alerta |
Severity |
string |
Severidade do alerta |
AlertDetailsOverride
Configurações de como substituir dinamicamente os detalhes estáticos do alerta
Nome | Tipo | Description |
---|---|---|
alertDescriptionFormat |
string |
o formato que contém os nomes das colunas para substituir a descrição do alerta |
alertDisplayNameFormat |
string |
o formato que contém os nomes das colunas para substituir o nome do alerta |
alertDynamicProperties |
Lista de propriedades dinâmicas adicionais a serem substituídas |
|
alertSeverityColumnName |
string |
o nome da coluna do qual tirar a severidade do alerta |
alertTacticsColumnName |
string |
o nome da coluna do qual usar as táticas de alerta |
AlertProperty
A propriedade de alerta V3
Nome | Tipo | Description |
---|---|---|
AlertLink |
string |
Link do alerta |
ConfidenceLevel |
string |
Propriedade de nível de confiança |
ConfidenceScore |
string |
Pontuação de confiança |
ExtendedLinks |
string |
Links estendidos para o alerta |
ProductComponentName |
string |
Propriedade de alerta do nome do componente do produto |
ProductName |
string |
Propriedade de alerta nome do produto |
ProviderName |
string |
Propriedade de alerta nome do provedor |
RemediationSteps |
string |
Propriedade de alerta das etapas de correção |
Techniques |
string |
Propriedade de alerta técnicas |
AlertPropertyMapping
Um único mapeamento de propriedade de alerta para substituir
Nome | Tipo | Description |
---|---|---|
alertProperty |
A propriedade de alerta V3 |
|
value |
string |
o nome da coluna a ser usado para substituir essa propriedade |
AlertSeverity
A gravidade dos alertas criados por essa regra de alerta.
Nome | Tipo | Description |
---|---|---|
High |
string |
Severidade alta |
Informational |
string |
Severidade informativa |
Low |
string |
Severidade baixa |
Medium |
string |
Severidade média |
AttackTactic
A gravidade dos alertas criados por essa regra de alerta.
Nome | Tipo | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
Estrutura de resposta de erro.
Nome | Tipo | Description |
---|---|---|
error |
Dados do erro |
CloudErrorBody
Detalhes do erro.
Nome | Tipo | Description |
---|---|---|
code |
string |
Um identificador para o erro. Os códigos são invariáveis e devem ser consumidos programaticamente. |
message |
string |
Uma mensagem que descreve o erro, destinada a ser adequada para exibição em uma interface do usuário. |
createdByType
O tipo de identidade que criou o recurso.
Nome | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
Mapeamento de entidade única para a regra de alerta
Nome | Tipo | Description |
---|---|---|
entityType |
O tipo V3 da entidade mapeada |
|
fieldMappings |
matriz de mapeamentos de campo para o mapeamento de entidade determinado |
EntityMappingType
O tipo V3 da entidade mapeada
Nome | Tipo | Description |
---|---|---|
Account |
string |
Tipo de entidade de conta de usuário |
AzureResource |
string |
Tipo de entidade de recurso do Azure |
CloudApplication |
string |
Tipo de entidade de aplicativo de nuvem |
DNS |
string |
Tipo de entidade DNS |
File |
string |
Tipo de entidade de arquivo do sistema |
FileHash |
string |
Tipo de entidade de hash de arquivo |
Host |
string |
Tipo de entidade de host |
IP |
string |
Tipo de entidade de endereço IP |
MailCluster |
string |
Tipo de entidade de cluster de email |
MailMessage |
string |
Tipo de entidade de mensagem de email |
Mailbox |
string |
Tipo de entidade de caixa de correio |
Malware |
string |
Tipo de entidade de malware |
Process |
string |
Tipo de entidade de processo |
RegistryKey |
string |
Tipo de entidade de chave do Registro |
RegistryValue |
string |
Tipo de entidade de valor do Registro |
SecurityGroup |
string |
Tipo de entidade de grupo de segurança |
SubmissionMail |
string |
Tipo de entidade de email de envio |
URL |
string |
Tipo de entidade de URL |
EventGroupingAggregationKind
Os tipos de agregação de agrupamento de eventos
Nome | Tipo | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
Recipiente de propriedades de configurações de agrupamento de eventos.
Nome | Tipo | Description |
---|---|---|
aggregationKind |
Os tipos de agregação de agrupamento de eventos |
FieldMapping
Um único mapeamento de campo da entidade mapeada
Nome | Tipo | Description |
---|---|---|
columnName |
string |
o nome da coluna a ser mapeado para o identificador |
identifier |
string |
o identificador V3 da entidade |
FusionAlertRule
Representa a regra de alerta do Fusion.
Nome | Tipo | Description |
---|---|---|
etag |
string |
Etag do recurso do azure |
id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
O tipo de regra de alerta |
name |
string |
O nome do recurso |
properties.alertRuleTemplateName |
string |
O Nome do modelo de regra de alerta usado para criar essa regra. |
properties.description |
string |
A descrição da regra de alerta. |
properties.displayName |
string |
O nome de exibição para alertas criados por essa regra de alerta. |
properties.enabled |
boolean |
Determina se essa regra de alerta está habilitada ou desabilitada. |
properties.lastModifiedUtc |
string |
A última vez que esse alerta foi modificado. |
properties.severity |
A gravidade dos alertas criados por essa regra de alerta. |
|
properties.tactics |
As táticas da regra de alerta |
|
properties.techniques |
string[] |
As técnicas da regra de alerta |
systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
GroupingConfiguration
Pacote de propriedades de configuração de agrupamento.
Nome | Tipo | Description |
---|---|---|
enabled |
boolean |
Agrupamento habilitado |
groupByAlertDetails |
Uma lista de detalhes de alerta a serem agrupados por (quando matchingMethod é Selecionado) |
|
groupByCustomDetails |
string[] |
Uma lista de chaves de detalhes personalizadas para agrupar por (quando matchingMethod é Selecionado). Somente chaves definidas na regra de alerta atual podem ser usadas. |
groupByEntities |
Uma lista de tipos de entidade para agrupar por (quando matchingMethod é Selecionado). Somente entidades definidas na regra de alerta atual podem ser usadas. |
|
lookbackDuration |
string |
Limitar o grupo a alertas criados dentro da duração do lookback (no formato de duração ISO 8601) |
matchingMethod |
Método de correspondência de agrupamento. Quando o método é Selecionado pelo menos um de groupByEntities, groupByAlertDetails, groupByCustomDetails deve ser fornecido e não vazio. |
|
reopenClosedIncident |
boolean |
Abrir novamente incidentes de correspondência fechados |
IncidentConfiguration
Recipiente de propriedades de Configuração de Incidentes.
Nome | Tipo | Description |
---|---|---|
createIncident |
boolean |
Criar incidentes com base em alertas disparados por essa regra de análise |
groupingConfiguration |
Definir como os alertas disparados por essa regra de análise são agrupados em incidentes |
MatchingMethod
Método de correspondência de agrupamento. Quando o método é Selecionado pelo menos um de groupByEntities, groupByAlertDetails, groupByCustomDetails deve ser fornecido e não vazio.
Nome | Tipo | Description |
---|---|---|
AllEntities |
string |
Agrupar alertas em um único incidente se todas as entidades corresponderem |
AnyAlert |
string |
Agrupando todos os alertas disparados por essa regra em um único incidente |
Selected |
string |
Agrupar alertas em um único incidente se as entidades selecionadas, os detalhes personalizados e os detalhes do alerta corresponderem |
MicrosoftSecurityIncidentCreationAlertRule
Representa a regra MicrosoftSecurityIncidentCreation.
Nome | Tipo | Description |
---|---|---|
etag |
string |
Etag do recurso do azure |
id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
O tipo de regra de alerta |
name |
string |
O nome do recurso |
properties.alertRuleTemplateName |
string |
O Nome do modelo de regra de alerta usado para criar essa regra. |
properties.description |
string |
A descrição da regra de alerta. |
properties.displayName |
string |
O nome de exibição para alertas criados por essa regra de alerta. |
properties.displayNamesExcludeFilter |
string[] |
displayNames dos alertas nos quais os casos não serão gerados |
properties.displayNamesFilter |
string[] |
displayNames dos alertas nos quais os casos serão gerados |
properties.enabled |
boolean |
Determina se essa regra de alerta está habilitada ou desabilitada. |
properties.lastModifiedUtc |
string |
A última vez que esse alerta foi modificado. |
properties.productFilter |
O productName dos alertas no qual os casos serão gerados |
|
properties.severitiesFilter |
as severidades dos alertas nas quais os casos serão gerados |
|
systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
O productName dos alertas no qual os casos serão gerados
Nome | Tipo | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
Representa a regra de alerta agendada.
Nome | Tipo | Description |
---|---|---|
etag |
string |
Etag do recurso do azure |
id |
string |
ID de recurso totalmente qualificada para o recurso. Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
O tipo de regra de alerta |
name |
string |
O nome do recurso |
properties.alertDetailsOverride |
Os detalhes do alerta substituem as configurações |
|
properties.alertRuleTemplateName |
string |
O Nome do modelo de regra de alerta usado para criar essa regra. |
properties.customDetails |
object |
Dicionário de pares chave-valor de cadeia de caracteres de colunas a serem anexadas ao alerta |
properties.description |
string |
A descrição da regra de alerta. |
properties.displayName |
string |
O nome de exibição para alertas criados por essa regra de alerta. |
properties.enabled |
boolean |
Determina se essa regra de alerta está habilitada ou desabilitada. |
properties.entityMappings |
Matriz dos mapeamentos de entidade da regra de alerta |
|
properties.eventGroupingSettings |
As configurações de agrupamento de eventos. |
|
properties.incidentConfiguration |
As configurações dos incidentes criados com base em alertas disparados por essa regra de análise |
|
properties.lastModifiedUtc |
string |
A última vez que essa regra de alerta foi modificada. |
properties.query |
string |
A consulta que cria alertas para essa regra. |
properties.queryFrequency |
string |
A frequência (no formato de duração ISO 8601) para que essa regra de alerta seja executada. |
properties.queryPeriod |
string |
O período (no formato de duração ISO 8601) que essa regra de alerta examina. |
properties.severity |
A gravidade dos alertas criados por essa regra de alerta. |
|
properties.suppressionDuration |
string |
A supressão (no formato de duração ISO 8601) a ser aguardada desde a última vez em que essa regra de alerta foi disparada. |
properties.suppressionEnabled |
boolean |
Determina se a supressão dessa regra de alerta está habilitada ou desabilitada. |
properties.tactics |
As táticas da regra de alerta |
|
properties.techniques |
string[] |
As técnicas da regra de alerta |
properties.templateVersion |
string |
A versão do modelo de regra de alerta usada para criar essa regra – no formato <a.b.c>, em que todos são números, por exemplo 0 <1.0.2> |
properties.triggerOperator |
A operação contra o limite que dispara a regra de alerta. |
|
properties.triggerThreshold |
integer |
O limite dispara essa regra de alerta. |
systemData |
Os metadados do Azure Resource Manager que contêm as informações createdBy e modifiedBy. |
|
type |
string |
Tipo do recurso. Por exemplo, "Microsoft.Compute/virtualMachines" ou "Microsoft.Storage/storageAccounts" |
systemData
Metadados relativos à criação e à última modificação do recurso.
Nome | Tipo | Description |
---|---|---|
createdAt |
string |
O carimbo de data/hora da criação de recursos (UTC). |
createdBy |
string |
A identidade que criou o recurso. |
createdByType |
O tipo de identidade que criou o recurso. |
|
lastModifiedAt |
string |
O carimbo de data/hora da última modificação do recurso (UTC) |
lastModifiedBy |
string |
A identidade que modificou o recurso pela última vez. |
lastModifiedByType |
O tipo de identidade que modificou o recurso pela última vez. |
TriggerOperator
A operação contra o limite que dispara a regra de alerta.
Nome | Tipo | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |