Alert Rules - List

Tüm uyarı kurallarını alır.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2020-01-01

URI Parametreleri

Name In Required Type Description
resourceGroupName
path True
  • string

Kullanıcının aboneliği içindeki kaynak grubunun adı. Ad büyük/küçük harfe duyarlıdır.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True
  • string

Azure abonelik KIMLIĞI

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

workspaceName
path True
  • string

Çalışma alanının adı.

api-version
query True
  • string

İşlem için API sürümü

Yanıtlar

Name Type Description
200 OK

Tamam, Işlem başarıyla tamamlandı

Other Status Codes

İşlemin neden başarısız olduğunu açıklayan hata yanıtı.

Güvenlik

azure_auth

Azure Active Directory OAuth2 akışı

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation Kullanıcı hesabınızın kimliğine bürün

Örnekler

Get all alert rules.

Sample Request

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2020-01-01

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Scheduled",
      "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
      "properties": {
        "alertRuleTemplateName": null,
        "displayName": "Rule2",
        "description": "",
        "severity": "High",
        "enabled": true,
        "tactics": [
          "Persistence",
          "LateralMovement"
        ],
        "query": "ProtectionStatus | extend HostCustomEntity = Computer | extend IPCustomEntity = ComputerIP_Hidden",
        "queryFrequency": "PT1H",
        "queryPeriod": "P2DT1H30M",
        "triggerOperator": "GreaterThan",
        "triggerThreshold": 0,
        "suppressionDuration": "PT1H",
        "suppressionEnabled": false,
        "lastModifiedUtc": "2019-01-01T13:15:30Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
      "name": "microsoftSecurityIncidentCreationRuleExample",
      "etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "MicrosoftSecurityIncidentCreation",
      "properties": {
        "productFilter": "Microsoft Cloud App Security",
        "severitiesFilter": null,
        "displayNamesFilter": null,
        "displayName": "testing displayname",
        "enabled": true,
        "description": null,
        "alertRuleTemplateName": null,
        "lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
      }
    },
    {
      "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalIinsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
      "name": "myFirstFusionRule",
      "etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
      "type": "Microsoft.SecurityInsights/alertRules",
      "kind": "Fusion",
      "properties": {
        "displayName": "Advanced Multi-Stage Attack Detection",
        "description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
        "alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
        "tactics": [
          "Persistence",
          "LateralMovement",
          "Exfiltration",
          "CommandAndControl"
        ],
        "severity": "High",
        "enabled": false,
        "lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
      }
    }
  ]
}

Tanımlar

AlertRuleKind

Uyarı kuralının türü

AlertRulesList

Tüm uyarı kurallarını listeleyin.

AlertSeverity

Uyarının önem derecesi

CloudError

Kaynak yönetimi isteğine yönelik bir hata yanıtı.

ErrorAdditionalInfo

Kaynak yönetimi hata ek bilgileri.

ErrorResponse

Kaynak yönetimi hata yanıtı.

FusionAlertRule

Fusion uyarı kuralını temsil eder.

MicrosoftSecurityIncidentCreationAlertRule

MicrosoftSecurityIncidentCreation kuralını temsil eder.

MicrosoftSecurityProductName

Durumların oluşturulacağı ' productName '

ScheduledAlertRule

Zamanlanmış uyarı kuralını temsil eder.

TriggerOperator

Uyarı kuralını tetikleyen eşiğe karşı işlem.

AlertRuleKind

Uyarı kuralının türü

Name Type Description
Fusion
  • string
MicrosoftSecurityIncidentCreation
  • string
Scheduled
  • string

AlertRulesList

Tüm uyarı kurallarını listeleyin.

Name Type Description
nextLink
  • string

Sonraki uyarı kuralları kümesini getirecek URL.

value AlertRule[]:

Uyarı kuralları dizisi.

AlertSeverity

Uyarının önem derecesi

Name Type Description
High
  • string

Yüksek önem derecesi

Informational
  • string

Bilgilendirici önem derecesi

Low
  • string

Düşük önem derecesi

Medium
  • string

Orta önem derecesi

CloudError

Kaynak yönetimi isteğine yönelik bir hata yanıtı.

Name Type Description
error

Cloubir Response hata nesnesi

ErrorAdditionalInfo

Kaynak yönetimi hata ek bilgileri.

Name Type Description
info
  • object

Ek bilgi.

type
  • string

Ek bilgi türü.

ErrorResponse

Kaynak yönetimi hata yanıtı.

Name Type Description
additionalInfo

Hata ek bilgileri.

code
  • string

Hata kodu.

details

Hata ayrıntıları.

message
  • string

Hata iletisi.

target
  • string

Hata hedefi.

FusionAlertRule

Fusion uyarı kuralını temsil eder.

Name Type Description
etag
  • string

Azure kaynağının eTag 'i

id
  • string

Azure kaynak kimliği

kind string:
  • Fusion

Uyarı kuralı türü

name
  • string

Azure Kaynak adı

properties.alertRuleTemplateName
  • string

Bu kuralı oluşturmak için kullanılan uyarı kuralı şablonunun adı.

properties.description
  • string

Uyarı kuralının açıklaması.

properties.displayName
  • string

Bu uyarı kuralı tarafından oluşturulan uyarıların görünen adı.

properties.enabled
  • boolean

Bu uyarı kuralının etkin veya devre dışı olduğunu belirler.

properties.lastModifiedUtc
  • string

Bu uyarının son değiştirildiği zaman.

properties.severity

Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi.

properties.tactics
  • string[]

Uyarı kuralının tackler

type
  • string

Azure Kaynak türü

MicrosoftSecurityIncidentCreationAlertRule

MicrosoftSecurityIncidentCreation kuralını temsil eder.

Name Type Description
etag
  • string

Azure kaynağının eTag 'i

id
  • string

Azure kaynak kimliği

kind string:
  • MicrosoftSecurityIncidentCreation

Uyarı kuralı türü

name
  • string

Azure Kaynak adı

properties.alertRuleTemplateName
  • string

Bu kuralı oluşturmak için kullanılan uyarı kuralı şablonunun adı.

properties.description
  • string

Uyarı kuralının açıklaması.

properties.displayName
  • string

Bu uyarı kuralı tarafından oluşturulan uyarıların görünen adı.

properties.displayNamesExcludeFilter
  • string[]

uyarıların, durumların üretilecektir displayNames

properties.displayNamesFilter
  • string[]

uyarıların, durum oluşturulacak displayNames

properties.enabled
  • boolean

Bu uyarı kuralının etkin veya devre dışı olduğunu belirler.

properties.lastModifiedUtc
  • string

Bu uyarının son değiştirildiği zaman.

properties.productFilter

Durumların oluşturulacağı ' productName '

properties.severitiesFilter
  • string[]

durumların oluşturulacağı uyarıların önem derecesi

type
  • string

Azure Kaynak türü

MicrosoftSecurityProductName

Durumların oluşturulacağı ' productName '

Name Type Description
Azure Active Directory Identity Protection
  • string
Azure Advanced Threat Protection
  • string
Azure Security Center
  • string
Azure Security Center for IoT
  • string
Microsoft Cloud App Security
  • string

ScheduledAlertRule

Zamanlanmış uyarı kuralını temsil eder.

Name Type Description
etag
  • string

Azure kaynağının eTag 'i

id
  • string

Azure kaynak kimliği

kind string:
  • Scheduled

Uyarı kuralı türü

name
  • string

Azure Kaynak adı

properties.alertRuleTemplateName
  • string

Bu kuralı oluşturmak için kullanılan uyarı kuralı şablonunun adı.

properties.description
  • string

Uyarı kuralının açıklaması.

properties.displayName
  • string

Bu uyarı kuralı tarafından oluşturulan uyarıların görünen adı.

properties.enabled
  • boolean

Bu uyarı kuralının etkin veya devre dışı olduğunu belirler.

properties.lastModifiedUtc
  • string

Bu uyarı kuralının son değiştirildiği zaman.

properties.query
  • string

Bu kural için uyarı oluşturan sorgu.

properties.queryFrequency
  • string

Bu uyarı kuralının çalışması için sıklık (ISO 8601 Duration biçiminde).

properties.queryPeriod
  • string

Bu uyarı kuralının göründüğü süre (ISO 8601 Duration biçiminde).

properties.severity

Bu uyarı kuralı tarafından oluşturulan uyarıların önem derecesi.

properties.suppressionDuration
  • string

Bu uyarı kuralının son saatinde bu yana beklenecek gizleme (ISO 8601 Duration biçiminde).

properties.suppressionEnabled
  • boolean

Bu uyarı kuralının gizlemenin etkin veya devre dışı olup olmadığını belirler.

properties.tactics
  • string[]

Uyarı kuralının tackler

properties.triggerOperator

Uyarı kuralını tetikleyen eşiğe karşı işlem.

properties.triggerThreshold
  • integer

Eşik bu uyarı kuralını tetikler.

type
  • string

Azure Kaynak türü

TriggerOperator

Uyarı kuralını tetikleyen eşiğe karşı işlem.

Name Type Description
Equal
  • string
GreaterThan
  • string
LessThan
  • string
NotEqual
  • string