Alert Rules - Get
取得警示規則。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules/{ruleId}?api-version=2024-03-01
URI 參數
名稱 | 位於 | 必要 | 類型 | Description |
---|---|---|---|---|
resource
|
path | True |
string |
資源群組的名稱。 名稱不區分大小寫。 |
rule
|
path | True |
string |
警示規則識別碼 |
subscription
|
path | True |
string |
目標訂用帳戶的標識碼。 |
workspace
|
path | True |
string |
工作區的名稱。 Regex pattern: |
api-version
|
query | True |
string |
用於此作業的 API 版本。 |
回應
名稱 | 類型 | Description |
---|---|---|
200 OK | AlertRule: |
確定,作業已順利完成 |
Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名稱 | Description |
---|---|
user_impersonation | 模擬您的用戶帳戶 |
範例
Get a Fusion alert rule. |
Get a Microsoft |
Get a Scheduled alert rule. |
Get a Fusion alert rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"260090e2-0000-0d00-0000-5d6fb8670000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": true,
"lastModifiedUtc": "2019-09-04T13:13:11.5340061Z"
}
}
Get a MicrosoftSecurityIncidentCreation rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
}
Get a Scheduled alert rule.
Sample Request
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
Sample Response
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2019-01-01T13:15:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
}
定義
名稱 | Description |
---|---|
Alert |
當 matchingMethod 為 Selected) 時,依 (分組的警示詳細數據清單 |
Alert |
如何動態覆寫警示靜態詳細數據的設定 |
Alert |
V3 警示屬性 |
Alert |
要覆寫的單一警示屬性對應 |
Alert |
此警示規則所建立之警示的嚴重性。 |
Attack |
此警示規則所建立之警示的嚴重性。 |
Cloud |
錯誤回應結構。 |
Cloud |
錯誤詳細數據。 |
created |
建立資源的身分識別類型。 |
Entity |
警示規則的單一實體對應 |
Entity |
對應實體的 V3 類型 |
Event |
事件群組匯總種類 |
Event |
事件群組設定屬性包。 |
Field |
對應實體的單一欄位對應 |
Fusion |
代表融合警示規則。 |
Grouping |
群組組態屬性包。 |
Incident |
事件組態屬性包。 |
Matching |
群組比對方法。 當方法選取至少一個 groupByEntities 時,必須提供 groupByAlertDetails、groupByCustomDetails,而不是空的。 |
Microsoft |
代表 MicrosoftSecurityIncidentCreation 規則。 |
Microsoft |
將產生案例的警示 productName |
Scheduled |
表示已排程的警示規則。 |
system |
與建立和上次修改資源相關的元數據。 |
Trigger |
針對觸發警示規則的臨界值進行作業。 |
AlertDetail
當 matchingMethod 為 Selected) 時,依 (分組的警示詳細數據清單
名稱 | 類型 | Description |
---|---|---|
DisplayName |
string |
警示顯示名稱 |
Severity |
string |
警示嚴重性 |
AlertDetailsOverride
如何動態覆寫警示靜態詳細數據的設定
名稱 | 類型 | Description |
---|---|---|
alertDescriptionFormat |
string |
包含數據行名稱的格式, (s) 覆寫警示描述 |
alertDisplayNameFormat |
string |
包含資料行名稱的格式, (s) 覆寫警示名稱 |
alertDynamicProperties |
要覆寫的其他動態屬性清單 |
|
alertSeverityColumnName |
string |
要從中取得警示嚴重性的數據行名稱 |
alertTacticsColumnName |
string |
要從中取得警示策略的數據行名稱 |
AlertProperty
V3 警示屬性
名稱 | 類型 | Description |
---|---|---|
AlertLink |
string |
警示的連結 |
ConfidenceLevel |
string |
信賴等級屬性 |
ConfidenceScore |
string |
信賴分數 |
ExtendedLinks |
string |
警示的延伸連結 |
ProductComponentName |
string |
產品名稱警示屬性 |
ProductName |
string |
產品名稱警示屬性 |
ProviderName |
string |
提供者名稱警示屬性 |
RemediationSteps |
string |
補救步驟警示屬性 |
Techniques |
string |
技術警示屬性 |
AlertPropertyMapping
要覆寫的單一警示屬性對應
名稱 | 類型 | Description |
---|---|---|
alertProperty |
V3 警示屬性 |
|
value |
string |
用來覆寫此屬性的數據行名稱 |
AlertSeverity
此警示規則所建立之警示的嚴重性。
名稱 | 類型 | Description |
---|---|---|
High |
string |
高嚴重性 |
Informational |
string |
資訊嚴重性 |
Low |
string |
低嚴重性 |
Medium |
string |
中嚴重性 |
AttackTactic
此警示規則所建立之警示的嚴重性。
名稱 | 類型 | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
錯誤回應結構。
名稱 | 類型 | Description |
---|---|---|
error |
錯誤數據 |
CloudErrorBody
錯誤詳細數據。
名稱 | 類型 | Description |
---|---|---|
code |
string |
錯誤的識別碼。 程式碼不變,且要以程式設計方式使用。 |
message |
string |
描述錯誤的訊息,適用於在使用者介面中顯示。 |
createdByType
建立資源的身分識別類型。
名稱 | 類型 | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
警示規則的單一實體對應
名稱 | 類型 | Description |
---|---|---|
entityType |
對應實體的 V3 類型 |
|
fieldMappings |
指定實體對應的欄位對應陣列 |
EntityMappingType
對應實體的 V3 類型
名稱 | 類型 | Description |
---|---|---|
Account |
string |
用戶帳戶實體類型 |
AzureResource |
string |
Azure 資源實體類型 |
CloudApplication |
string |
雲端應用程式實體類型 |
DNS |
string |
DNS 實體類型 |
File |
string |
系統檔案實體類型 |
FileHash |
string |
檔案哈希實體類型 |
Host |
string |
主機實體類型 |
IP |
string |
IP 位址實體類型 |
MailCluster |
string |
郵件叢集實體類型 |
MailMessage |
string |
郵件訊息實體類型 |
Mailbox |
string |
信箱實體類型 |
Malware |
string |
惡意代碼實體類型 |
Process |
string |
處理實體類型 |
RegistryKey |
string |
登錄機碼實體類型 |
RegistryValue |
string |
登錄值實體類型 |
SecurityGroup |
string |
安全組實體類型 |
SubmissionMail |
string |
提交郵件實體類型 |
URL |
string |
URL 實體類型 |
EventGroupingAggregationKind
事件群組匯總種類
名稱 | 類型 | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
事件群組設定屬性包。
名稱 | 類型 | Description |
---|---|---|
aggregationKind |
事件群組匯總類型 |
FieldMapping
對應實體的單一欄位對應
名稱 | 類型 | Description |
---|---|---|
columnName |
string |
要對應至標識碼的數據行名稱 |
identifier |
string |
實體的 V3 識別碼 |
FusionAlertRule
代表融合警示規則。
名稱 | 類型 | Description |
---|---|---|
etag |
string |
Azure 資源的 Etag |
id |
string |
資源的完整資源識別碼。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertRuleTemplateName |
string |
用來建立此規則的警示規則範本名稱。 |
properties.description |
string |
警示規則的描述。 |
properties.displayName |
string |
此警示規則所建立之警示的顯示名稱。 |
properties.enabled |
boolean |
判斷是否啟用或停用此警示規則。 |
properties.lastModifiedUtc |
string |
上次修改此警示的時間。 |
properties.severity |
此警示規則所建立之警示的嚴重性。 |
|
properties.tactics |
警示規則的策略 |
|
properties.techniques |
string[] |
警示規則的技術 |
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
GroupingConfiguration
群組組態屬性包。
名稱 | 類型 | Description |
---|---|---|
enabled |
boolean |
已啟用群組 |
groupByAlertDetails |
當 matchingMethod 為 Selected) 時,依 (分組的警示詳細數據清單 |
|
groupByCustomDetails |
string[] |
當 matchingMethod 為 Selected) 時,依 (分組的自定義詳細數據索引鍵清單。 只能使用目前警示規則中定義的索引鍵。 |
groupByEntities |
當 matchingMethod 為 Selected) 時,依 (分組的實體類型清單。 只能使用目前警示規則中定義的實體。 |
|
lookbackDuration |
string |
以 ISO 8601 持續時間格式限制群組在回溯期間內建立的警示 () |
matchingMethod |
群組比對方法。 當方法選取至少一個 groupByEntities 時,必須提供 groupByAlertDetails、groupByCustomDetails,而不是空的。 |
|
reopenClosedIncident |
boolean |
重新開啟封閉式比對事件 |
IncidentConfiguration
事件組態屬性包。
名稱 | 類型 | Description |
---|---|---|
createIncident |
boolean |
從此分析規則所觸發的警示建立事件 |
groupingConfiguration |
設定此分析規則所觸發的警示如何分組為事件 |
MatchingMethod
群組比對方法。 當方法選取至少一個 groupByEntities 時,必須提供 groupByAlertDetails、groupByCustomDetails,而不是空的。
名稱 | 類型 | Description |
---|---|---|
AllEntities |
string |
如果所有實體都相符,將警示分組為單一事件 |
AnyAlert |
string |
將此規則所觸發的任何警示分組為單一事件 |
Selected |
string |
如果選取的實體、自定義詳細數據和警示詳細數據相符,請將警示分組成單一事件 |
MicrosoftSecurityIncidentCreationAlertRule
代表 MicrosoftSecurityIncidentCreation 規則。
名稱 | 類型 | Description |
---|---|---|
etag |
string |
Azure 資源的 Etag |
id |
string |
資源的完整資源識別碼。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertRuleTemplateName |
string |
用來建立此規則的警示規則範本名稱。 |
properties.description |
string |
警示規則的描述。 |
properties.displayName |
string |
此警示規則所建立之警示的顯示名稱。 |
properties.displayNamesExcludeFilter |
string[] |
不會產生案例的 alerts' displayNames |
properties.displayNamesFilter |
string[] |
將產生案例的 alerts' displayNames |
properties.enabled |
boolean |
判斷是否啟用或停用此警示規則。 |
properties.lastModifiedUtc |
string |
上次修改此警示的時間。 |
properties.productFilter |
將產生案例的警示 productName |
|
properties.severitiesFilter |
將產生案例的警示嚴重性 |
|
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
MicrosoftSecurityProductName
將產生案例的警示 productName
名稱 | 類型 | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
表示已排程的警示規則。
名稱 | 類型 | Description |
---|---|---|
etag |
string |
Azure 資源的 Etag |
id |
string |
資源的完整資源識別碼。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertDetailsOverride |
警示詳細數據覆寫設定 |
|
properties.alertRuleTemplateName |
string |
用來建立此規則的警示規則範本名稱。 |
properties.customDetails |
object |
要附加至警示之數據行的字串索引鍵/值組字典 |
properties.description |
string |
警示規則的描述。 |
properties.displayName |
string |
此警示規則所建立之警示的顯示名稱。 |
properties.enabled |
boolean |
判斷是否啟用或停用此警示規則。 |
properties.entityMappings |
警示規則的實體對應陣列 |
|
properties.eventGroupingSettings |
事件群組設定。 |
|
properties.incidentConfiguration |
從此分析規則所觸發之警示所建立的事件設定 |
|
properties.lastModifiedUtc |
string |
上次修改此警示規則的時間。 |
properties.query |
string |
建立此規則警示的查詢。 |
properties.queryFrequency |
string |
此警示規則執行的頻率 (ISO 8601 持續時間格式) 。 |
properties.queryPeriod |
string |
此警示規則所查看的期間 (ISO 8601 持續時間格式) 。 |
properties.severity |
此警示規則所建立之警示的嚴重性。 |
|
properties.suppressionDuration |
string |
ISO 8601 持續時間格式的歸併 () 自上次觸發此警示規則以來等候。 |
properties.suppressionEnabled |
boolean |
判斷是否啟用或停用此警示規則的歸併。 |
properties.tactics |
警示規則的策略 |
|
properties.techniques |
string[] |
警示規則的技術 |
properties.templateVersion |
string |
用來建立此規則的警示規則範本版本 - 格式 <為 a.b.c>,其中全部都是數位,例如 0 <1.0.2> |
properties.triggerOperator |
針對觸發警示規則的臨界值進行作業。 |
|
properties.triggerThreshold |
integer |
臨界值會觸發此警示規則。 |
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
systemData
與建立和上次修改資源相關的元數據。
名稱 | 類型 | Description |
---|---|---|
createdAt |
string |
資源建立的時間戳 (UTC) 。 |
createdBy |
string |
建立資源的身分識別。 |
createdByType |
建立資源的身分識別類型。 |
|
lastModifiedAt |
string |
上次修改的資源時間戳 (UTC) |
lastModifiedBy |
string |
上次修改資源的身分識別。 |
lastModifiedByType |
上次修改資源的身分識別類型。 |
TriggerOperator
針對觸發警示規則的臨界值進行作業。
名稱 | 類型 | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |