Alert Rules - List
すべてのアラート ルールを取得します。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
URI パラメーター
名前 | / | 必須 | 型 | 説明 |
---|---|---|---|---|
resource
|
path | True |
string |
リソース グループの名前。 名前の大文字と小文字は区別されます。 |
subscription
|
path | True |
string |
ターゲット サブスクリプションの ID。 |
workspace
|
path | True |
string |
ワークスペースの名前。 正規表現パターン: |
api-version
|
query | True |
string |
この操作に使用する API バージョン。 |
応答
名前 | 型 | 説明 |
---|---|---|
200 OK |
OK、操作が正常に完了しました |
|
Other Status Codes |
操作に失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
名前 | 説明 |
---|---|
user_impersonation | ユーザー アカウントの借用 |
例
Get all alert rules.
要求のサンプル
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules?api-version=2024-03-01
応答のサンプル
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"alertRuleTemplateName": null,
"displayName": "My scheduled rule",
"description": "An example for a scheduled rule",
"severity": "High",
"enabled": true,
"tactics": [
"Persistence",
"LateralMovement"
],
"query": "Heartbeat",
"queryFrequency": "PT1H",
"queryPeriod": "P2DT1H30M",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT1H",
"suppressionEnabled": false,
"lastModifiedUtc": "2021-03-01T13:17:30Z",
"eventGroupingSettings": {
"aggregationKind": "AlertPerResult"
},
"customDetails": {
"OperatingSystemName": "OSName",
"OperatingSystemType": "OSType"
},
"entityMappings": [
{
"entityType": "Host",
"fieldMappings": [
{
"identifier": "FullName",
"columnName": "Computer"
}
]
},
{
"entityType": "IP",
"fieldMappings": [
{
"identifier": "Address",
"columnName": "ComputerIP"
}
]
}
],
"alertDetailsOverride": {
"alertDisplayNameFormat": "Alert from {{Computer}}",
"alertDescriptionFormat": "Suspicious activity was made by {{ComputerIP}}",
"alertTacticsColumnName": null,
"alertSeverityColumnName": null
},
"incidentConfiguration": {
"createIncident": true,
"groupingConfiguration": {
"enabled": true,
"reopenClosedIncident": false,
"lookbackDuration": "PT5H",
"matchingMethod": "Selected",
"groupByEntities": [
"Host"
],
"groupByAlertDetails": [
"DisplayName"
],
"groupByCustomDetails": [
"OperatingSystemType",
"OperatingSystemName"
]
}
}
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/microsoftSecurityIncidentCreationRuleExample",
"name": "microsoftSecurityIncidentCreationRuleExample",
"etag": "\"260097e0-0000-0d00-0000-5d6fa88f0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "testing displayname",
"enabled": true,
"description": null,
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-09-04T12:05:35.7296311Z"
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/myFirstFusionRule",
"name": "myFirstFusionRule",
"etag": "\"25005c11-0000-0d00-0000-5d6cc0e20000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "In this mode, Sentinel combines low fidelity alerts, which themselves may not be actionable, and events across multiple products, into high fidelity security interesting incidents. The system looks at multiple products to produce actionable incidents. Custom tailored to each tenant, Fusion not only reduces false positive rates but also can detect attacks with limited or missing information. \nIncidents generated by Fusion system will encase two or more alerts. By design, Fusion incidents are low volume, high fidelity and will be high severity, which is why Fusion is turned ON by default in Azure Sentinel.\n\nFor Fusion to work, please configure the following data sources in Data Connectors tab:\nRequired - Azure Active Directory Identity Protection\nRequired - Microsoft Cloud App Security\nIf Available - Palo Alto Network\n\nFor full list of scenarios covered by Fusion, and detail instructions on how to configure the required data sources, go to aka.ms/SentinelFusion",
"alertRuleTemplateName": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"severity": "High",
"enabled": false,
"lastModifiedUtc": "2019-09-02T07:12:34.9065092Z"
}
}
]
}
定義
名前 | 説明 |
---|---|
Alert |
グループ化するアラートの詳細の一覧 (matchingMethod が選択されている場合) |
Alert |
アラートの静的な詳細を動的にオーバーライドする方法の設定 |
Alert |
V3 アラート プロパティ |
Alert |
オーバーライドする 1 つのアラート プロパティ マッピング |
Alert |
すべてのアラート ルールを一覧表示します。 |
Alert |
このアラート ルールによって作成されたアラートの重大度。 |
Attack |
このアラート ルールによって作成されたアラートの重大度。 |
Cloud |
エラー応答の構造。 |
Cloud |
エラーの詳細。 |
created |
リソースを作成した ID の種類。 |
Entity |
アラート ルールの単一エンティティ マッピング |
Entity |
マップされたエンティティの V3 型 |
Event |
イベント グループの集計の種類 |
Event |
イベント グループ化設定プロパティ バッグ。 |
Field |
マップされたエンティティの 1 つのフィールド マッピング |
Fusion |
Fusion アラート ルールを表します。 |
Grouping |
グループ化構成プロパティ バッグ。 |
Incident |
インシデント構成プロパティ バッグ。 |
Matching |
グループ化照合メソッド。 メソッドが GroupByEntities、groupByAlertDetails、groupByCustomDetails の少なくとも 1 つを選択した場合、空ではなく groupByCustomDetails を指定する必要があります。 |
Microsoft |
MicrosoftSecurityIncidentCreation ルールを表します。 |
Microsoft |
ケースが生成されるアラートの productName |
Scheduled |
スケジュールされたアラート ルールを表します。 |
system |
リソースの作成と最後の変更に関連するメタデータ。 |
Trigger |
アラート ルールをトリガーするしきい値に対する操作。 |
AlertDetail
グループ化するアラートの詳細の一覧 (matchingMethod が選択されている場合)
名前 | 型 | 説明 |
---|---|---|
DisplayName |
string |
アラートの表示名 |
Severity |
string |
アラートの重大度 |
AlertDetailsOverride
アラートの静的な詳細を動的にオーバーライドする方法の設定
名前 | 型 | 説明 |
---|---|---|
alertDescriptionFormat |
string |
アラートの説明をオーバーライドする列名を含む形式 |
alertDisplayNameFormat |
string |
アラート名をオーバーライドするための列名を含む形式 |
alertDynamicProperties |
オーバーライドする追加の動的プロパティの一覧 |
|
alertSeverityColumnName |
string |
アラートの重大度を取得する列名 |
alertTacticsColumnName |
string |
アラートの戦術を取得する列名 |
AlertProperty
V3 アラート プロパティ
名前 | 型 | 説明 |
---|---|---|
AlertLink |
string |
アラートのリンク |
ConfidenceLevel |
string |
信頼度レベル プロパティ |
ConfidenceScore |
string |
信頼度スコア |
ExtendedLinks |
string |
アラートへの拡張リンク |
ProductComponentName |
string |
製品コンポーネント名アラート プロパティ |
ProductName |
string |
製品名アラート プロパティ |
ProviderName |
string |
プロバイダー名アラート プロパティ |
RemediationSteps |
string |
修復手順アラート プロパティ |
Techniques |
string |
手法アラート プロパティ |
AlertPropertyMapping
オーバーライドする 1 つのアラート プロパティ マッピング
名前 | 型 | 説明 |
---|---|---|
alertProperty |
V3 アラート プロパティ |
|
value |
string |
このプロパティをオーバーライドするために使用する列名 |
AlertRulesList
すべてのアラート ルールを一覧表示します。
名前 | 型 | 説明 |
---|---|---|
nextLink |
string |
アラート ルールの次のセットをフェッチする URL。 |
value | AlertRule[]: |
アラート ルールの配列。 |
AlertSeverity
このアラート ルールによって作成されたアラートの重大度。
名前 | 型 | 説明 |
---|---|---|
High |
string |
重要度レベル |
Informational |
string |
情報の重大度 |
Low |
string |
重大度: 低 |
Medium |
string |
重要度レベル |
AttackTactic
このアラート ルールによって作成されたアラートの重大度。
名前 | 型 | 説明 |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
エラー応答の構造。
名前 | 型 | 説明 |
---|---|---|
error |
エラー データ |
CloudErrorBody
エラーの詳細。
名前 | 型 | 説明 |
---|---|---|
code |
string |
エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。 |
message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
createdByType
リソースを作成した ID の種類。
名前 | 型 | 説明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
アラート ルールの単一エンティティ マッピング
名前 | 型 | 説明 |
---|---|---|
entityType |
マップされたエンティティの V3 型 |
|
fieldMappings |
指定されたエンティティ マッピングのフィールド マッピングの配列 |
EntityMappingType
マップされたエンティティの V3 型
名前 | 型 | 説明 |
---|---|---|
Account |
string |
ユーザー アカウント エンティティの種類 |
AzureResource |
string |
Azure リソース エンティティの種類 |
CloudApplication |
string |
クラウド アプリエンティティの種類 |
DNS |
string |
DNS エンティティの種類 |
File |
string |
システム ファイル エンティティの種類 |
FileHash |
string |
ファイル ハッシュ エンティティ型 |
Host |
string |
ホスト エンティティの種類 |
IP |
string |
IP アドレス エンティティの種類 |
MailCluster |
string |
メール クラスター エンティティの種類 |
MailMessage |
string |
メール メッセージ エンティティの種類 |
Mailbox |
string |
メールボックス エンティティの種類 |
Malware |
string |
マルウェア エンティティの種類 |
Process |
string |
プロセス エンティティの種類 |
RegistryKey |
string |
レジストリ キー エンティティの種類 |
RegistryValue |
string |
レジストリ値エンティティ型 |
SecurityGroup |
string |
セキュリティ グループ エンティティの種類 |
SubmissionMail |
string |
送信メール エンティティの種類 |
URL |
string |
URL エンティティの種類 |
EventGroupingAggregationKind
イベント グループの集計の種類
名前 | 型 | 説明 |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
イベント グループ化設定プロパティ バッグ。
名前 | 型 | 説明 |
---|---|---|
aggregationKind |
イベント グループの集計の種類 |
FieldMapping
マップされたエンティティの 1 つのフィールド マッピング
名前 | 型 | 説明 |
---|---|---|
columnName |
string |
識別子にマップされる列名 |
identifier |
string |
エンティティの V3 識別子 |
FusionAlertRule
Fusion アラート ルールを表します。
名前 | 型 | 説明 |
---|---|---|
etag |
string |
Azure リソースの Etag |
id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
アラート ルールの種類 |
name |
string |
リソースの名前 |
properties.alertRuleTemplateName |
string |
このルールの作成に使用されるアラート ルール テンプレートの名前。 |
properties.description |
string |
アラート ルールの説明。 |
properties.displayName |
string |
このアラート ルールによって作成されたアラートの表示名。 |
properties.enabled |
boolean |
このアラート ルールを有効にするか無効にするかを決定します。 |
properties.lastModifiedUtc |
string |
このアラートが最後に変更された時刻。 |
properties.severity |
このアラート ルールによって作成されたアラートの重大度。 |
|
properties.tactics |
アラート ルールの戦術 |
|
properties.techniques |
string[] |
アラート ルールの手法 |
systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
GroupingConfiguration
グループ化構成プロパティ バッグ。
名前 | 型 | 説明 |
---|---|---|
enabled |
boolean |
グループ化が有効 |
groupByAlertDetails |
グループ化するアラートの詳細の一覧 (matchingMethod が選択されている場合) |
|
groupByCustomDetails |
string[] |
グループ化するカスタム詳細キーの一覧 (matchingMethod が選択されている場合)。 現在のアラート ルールで定義されているキーのみを使用できます。 |
groupByEntities |
グループ化するエンティティ型の一覧 (matchingMethod が選択されている場合)。 現在のアラート ルールで定義されているエンティティのみを使用できます。 |
|
lookbackDuration |
string |
ルックバック期間内に作成されたアラートにグループを制限する (ISO 8601 期間形式) |
matchingMethod |
グループ化照合メソッド。 メソッドが GroupByEntities、groupByAlertDetails、groupByCustomDetails の少なくとも 1 つを選択した場合、空ではなく groupByCustomDetails を指定する必要があります。 |
|
reopenClosedIncident |
boolean |
閉じた一致するインシデントを再度開く |
IncidentConfiguration
インシデント構成プロパティ バッグ。
名前 | 型 | 説明 |
---|---|---|
createIncident |
boolean |
この分析ルールによってトリガーされたアラートからインシデントを作成する |
groupingConfiguration |
この分析ルールによってトリガーされるアラートをインシデントにグループ化する方法を設定する |
MatchingMethod
グループ化照合メソッド。 メソッドが GroupByEntities、groupByAlertDetails、groupByCustomDetails の少なくとも 1 つを選択した場合、空ではなく groupByCustomDetails を指定する必要があります。
名前 | 型 | 説明 |
---|---|---|
AllEntities |
string |
すべてのエンティティが一致する場合にアラートを 1 つのインシデントにグループ化する |
AnyAlert |
string |
このルールによってトリガーされたアラートを 1 つのインシデントにグループ化する |
Selected |
string |
選択したエンティティ、カスタムの詳細、アラートの詳細が一致する場合にアラートを 1 つのインシデントにグループ化する |
MicrosoftSecurityIncidentCreationAlertRule
MicrosoftSecurityIncidentCreation ルールを表します。
名前 | 型 | 説明 |
---|---|---|
etag |
string |
Azure リソースの Etag |
id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
アラート ルールの種類 |
name |
string |
リソースの名前 |
properties.alertRuleTemplateName |
string |
このルールの作成に使用されるアラート ルール テンプレートの名前。 |
properties.description |
string |
アラート ルールの説明。 |
properties.displayName |
string |
このアラート ルールによって作成されたアラートの表示名。 |
properties.displayNamesExcludeFilter |
string[] |
ケースが生成されないアラートの displayNames |
properties.displayNamesFilter |
string[] |
ケースが生成されるアラートの displayNames |
properties.enabled |
boolean |
このアラート ルールを有効にするか無効にするかを決定します。 |
properties.lastModifiedUtc |
string |
このアラートが最後に変更された時刻。 |
properties.productFilter |
ケースが生成されるアラートの productName |
|
properties.severitiesFilter |
ケースが生成されるアラートの重大度 |
|
systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
MicrosoftSecurityProductName
ケースが生成されるアラートの productName
名前 | 型 | 説明 |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRule
スケジュールされたアラート ルールを表します。
名前 | 型 | 説明 |
---|---|---|
etag |
string |
Azure リソースの Etag |
id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
アラート ルールの種類 |
name |
string |
リソースの名前 |
properties.alertDetailsOverride |
アラートの詳細が設定をオーバーライドする |
|
properties.alertRuleTemplateName |
string |
このルールの作成に使用されるアラート ルール テンプレートの名前。 |
properties.customDetails |
object |
アラートにアタッチする列の文字列キーと値のペアのディクショナリ |
properties.description |
string |
アラート ルールの説明。 |
properties.displayName |
string |
このアラート ルールによって作成されたアラートの表示名。 |
properties.enabled |
boolean |
このアラート ルールを有効にするか無効にするかを決定します。 |
properties.entityMappings |
アラート ルールのエンティティ マッピングの配列 |
|
properties.eventGroupingSettings |
イベントグループ化の設定。 |
|
properties.incidentConfiguration |
この分析ルールによってトリガーされるアラートから作成されたインシデントの設定 |
|
properties.lastModifiedUtc |
string |
このアラート ルールが最後に変更された時刻。 |
properties.query |
string |
このルールのアラートを作成するクエリ。 |
properties.queryFrequency |
string |
このアラート ルールを実行する頻度 (ISO 8601 期間形式)。 |
properties.queryPeriod |
string |
このアラート ルールが検索する期間 (ISO 8601 期間形式)。 |
properties.severity |
このアラート ルールによって作成されたアラートの重大度。 |
|
properties.suppressionDuration |
string |
このアラート ルールが前回トリガーされてから待機する抑制 (ISO 8601 期間形式)。 |
properties.suppressionEnabled |
boolean |
このアラート ルールの抑制を有効または無効にするかどうかを決定します。 |
properties.tactics |
アラート ルールの戦術 |
|
properties.techniques |
string[] |
アラート ルールの手法 |
properties.templateVersion |
string |
このルールの作成に使用されるアラート ルール テンプレートのバージョン - a.b.c> 形式<で、すべて数値 (例: 0 <1.0.2)> |
properties.triggerOperator |
アラート ルールをトリガーするしきい値に対する操作。 |
|
properties.triggerThreshold |
integer |
しきい値によって、このアラート ルールがトリガーされます。 |
systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
systemData
リソースの作成と最後の変更に関連するメタデータ。
名前 | 型 | 説明 |
---|---|---|
createdAt |
string |
リソース作成のタイムスタンプ (UTC)。 |
createdBy |
string |
リソースを作成した ID。 |
createdByType |
リソースを作成した ID の種類。 |
|
lastModifiedAt |
string |
リソースの最終変更のタイムスタンプ (UTC) |
lastModifiedBy |
string |
リソースを最後に変更した ID。 |
lastModifiedByType |
リソースを最後に変更した ID の種類。 |
TriggerOperator
アラート ルールをトリガーするしきい値に対する操作。
名前 | 型 | 説明 |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |