Alert Rule Templates - List
取得所有警示規則範本。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
URI 參數
名稱 | 位於 | 必要 | 類型 | Description |
---|---|---|---|---|
resource
|
path | True |
string |
資源群組的名稱。 名稱不區分大小寫。 |
subscription
|
path | True |
string |
目標訂用帳戶的標識碼。 |
workspace
|
path | True |
string |
工作區的名稱。 Regex 模式: |
api-version
|
query | True |
string |
用於此作業的 API 版本。 |
回應
名稱 | 類型 | Description |
---|---|---|
200 OK |
確定,作業已順利完成 |
|
Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
類型:
oauth2
Flow:
implicit
授權 URL:
https://login.microsoftonline.com/common/oauth2/authorize
範圍
名稱 | Description |
---|---|
user_impersonation | 模擬您的用戶帳戶 |
範例
Get all alert rule templates.
範例要求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRuleTemplates?api-version=2024-03-01
範例回覆
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/65360bb0-8986-4ade-a89d-af3cf44d28aa",
"name": "65360bb0-8986-4ade-a89d-af3cf44d28aa",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Scheduled",
"properties": {
"severity": "Low",
"query": "let timeframe = 1d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName == \"CreateNetworkAclEntry\"\n or EventName == \"CreateRoute\"\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, UserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend AccountCustomEntity = UserIdentityUserName, IPCustomEntity = SourceIpAddress",
"queryFrequency": "P1D",
"queryPeriod": "P1D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"displayName": "Changes to Amazon VPC settings",
"description": "This alert monitors changes to Amazon VPC (Virtual Private Cloud) settings such as new ACL entries and routes in route tables.\nMore information: https://medium.com/@GorillaStack/the-most-important-aws-cloudtrail-security-events-to-track-a5b9873f8255 \nand https://aws.amazon.com/vpc/",
"tactics": [
"PrivilegeEscalation",
"LateralMovement"
],
"lastUpdatedDateUTC": "2021-02-27T10:00:00Z",
"createdDateUTC": "2019-02-27T00:00:00Z",
"status": "Available",
"version": "1.0.1",
"requiredDataConnectors": [
{
"connectorId": "AWS",
"dataTypes": [
"AWSCloudTrail"
]
}
],
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/f71aba3d-28fb-450b-b192-4e76a83015c8",
"name": "f71aba3d-28fb-450b-b192-4e76a83015c8",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "Fusion",
"properties": {
"displayName": "Advanced Multi-Stage Attack Detection",
"description": "Place holder: Fusion uses graph powered machine learning algorithms to correlate between millions of lower fidelity anomalous activities from different products such as Azure AD Identity Protection, and Microsoft Cloud App Security, to combine them into a manageable number of interesting security cases.\n",
"tactics": [
"Persistence",
"LateralMovement",
"Exfiltration",
"CommandAndControl"
],
"lastUpdatedDateUTC": "2021-03-27T10:00:00Z",
"createdDateUTC": "2019-07-25T00:00:00Z",
"status": "Available",
"severity": "High",
"alertRulesCreatedByTemplateCount": 0
}
},
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/AlertRuleTemplates/b3cfc7c0-092c-481c-a55b-34a3979758cb",
"name": "b3cfc7c0-092c-481c-a55b-34a3979758cb",
"type": "Microsoft.SecurityInsights/AlertRuleTemplates",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Microsoft Cloud App Security",
"displayName": "Create incidents based on Microsoft Cloud App Security alerts",
"description": "Create incidents based on all alerts generated in Microsoft Cloud App Security",
"lastUpdatedDateUTC": "2021-05-27T10:00:00Z",
"createdDateUTC": "2019-07-16T00:00:00Z",
"status": "Available",
"alertRulesCreatedByTemplateCount": 0
}
}
]
}
定義
名稱 | Description |
---|---|
Alert |
如何動態覆寫警示靜態詳細數據的設定 |
Alert |
V3 警示屬性 |
Alert |
要覆寫的單一警示屬性對應 |
Alert |
警示規則範本數據源 |
Alert |
列出所有警示規則範本。 |
Alert |
此警示規則所建立之警示的嚴重性。 |
Attack |
此警示規則所建立之警示的嚴重性。 |
Cloud |
錯誤回應結構。 |
Cloud |
錯誤詳細數據。 |
created |
建立資源的身分識別類型。 |
Entity |
警示規則的單一實體對應 |
Entity |
對應實體的 V3 類型 |
Event |
事件群組匯總類型 |
Event |
事件群組設定屬性包。 |
Field |
對應實體的單一欄位對應 |
Fusion |
代表融合警示規則範本。 |
Microsoft |
代表 MicrosoftSecurityIncidentCreation 規則範本。 |
Microsoft |
將產生案例的警示 productName |
Scheduled |
表示已排程的警示規則範本。 |
system |
與建立和上次修改資源相關的元數據。 |
Template |
警示規則範本狀態。 |
Trigger |
針對觸發警示規則之閾值的作業。 |
AlertDetailsOverride
如何動態覆寫警示靜態詳細數據的設定
名稱 | 類型 | Description |
---|---|---|
alertDescriptionFormat |
string |
包含數據行名稱的格式, (s) 覆寫警示描述 |
alertDisplayNameFormat |
string |
包含資料行名稱的格式, (s) 覆寫警示名稱 |
alertDynamicProperties |
要覆寫的其他動態屬性清單 |
|
alertSeverityColumnName |
string |
要從中取得警示嚴重性的數據行名稱 |
alertTacticsColumnName |
string |
要從中取得警示策略的數據行名稱 |
AlertProperty
V3 警示屬性
名稱 | 類型 | Description |
---|---|---|
AlertLink |
string |
警示的連結 |
ConfidenceLevel |
string |
信賴等級屬性 |
ConfidenceScore |
string |
信賴分數 |
ExtendedLinks |
string |
警示的延伸連結 |
ProductComponentName |
string |
產品名稱警示屬性 |
ProductName |
string |
產品名稱警示屬性 |
ProviderName |
string |
提供者名稱警示屬性 |
RemediationSteps |
string |
補救步驟警示屬性 |
Techniques |
string |
技術警示屬性 |
AlertPropertyMapping
要覆寫的單一警示屬性對應
名稱 | 類型 | Description |
---|---|---|
alertProperty |
V3 警示屬性 |
|
value |
string |
要用來覆寫此屬性的數據行名稱 |
AlertRuleTemplateDataSource
警示規則範本數據源
名稱 | 類型 | Description |
---|---|---|
connectorId |
string |
提供下列數據類型的連接器識別碼 |
dataTypes |
string[] |
警示規則範本所使用的數據類型 |
AlertRuleTemplatesList
列出所有警示規則範本。
名稱 | 類型 | Description |
---|---|---|
nextLink |
string |
用來擷取下一組警示規則範本的URL。 |
value | AlertRuleTemplate[]: |
警示規則範本的陣列。 |
AlertSeverity
此警示規則所建立之警示的嚴重性。
名稱 | 類型 | Description |
---|---|---|
High |
string |
高嚴重性 |
Informational |
string |
資訊嚴重性 |
Low |
string |
低嚴重性 |
Medium |
string |
中嚴重性 |
AttackTactic
此警示規則所建立之警示的嚴重性。
名稱 | 類型 | Description |
---|---|---|
Collection |
string |
|
CommandAndControl |
string |
|
CredentialAccess |
string |
|
DefenseEvasion |
string |
|
Discovery |
string |
|
Execution |
string |
|
Exfiltration |
string |
|
Impact |
string |
|
ImpairProcessControl |
string |
|
InhibitResponseFunction |
string |
|
InitialAccess |
string |
|
LateralMovement |
string |
|
Persistence |
string |
|
PreAttack |
string |
|
PrivilegeEscalation |
string |
|
Reconnaissance |
string |
|
ResourceDevelopment |
string |
CloudError
錯誤回應結構。
名稱 | 類型 | Description |
---|---|---|
error |
錯誤數據 |
CloudErrorBody
錯誤詳細數據。
名稱 | 類型 | Description |
---|---|---|
code |
string |
錯誤的識別碼。 程式碼不變,且要以程式設計方式使用。 |
message |
string |
描述錯誤的訊息,適用於在使用者介面中顯示。 |
createdByType
建立資源的身分識別類型。
名稱 | 類型 | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
EntityMapping
警示規則的單一實體對應
名稱 | 類型 | Description |
---|---|---|
entityType |
對應實體的 V3 類型 |
|
fieldMappings |
指定實體對應的欄位對應陣列 |
EntityMappingType
對應實體的 V3 類型
名稱 | 類型 | Description |
---|---|---|
Account |
string |
用戶帳戶實體類型 |
AzureResource |
string |
Azure 資源實體類型 |
CloudApplication |
string |
雲端應用程式實體類型 |
DNS |
string |
DNS 實體類型 |
File |
string |
系統檔案實體類型 |
FileHash |
string |
檔案哈希實體類型 |
Host |
string |
主機實體類型 |
IP |
string |
IP 位址實體類型 |
MailCluster |
string |
郵件叢集實體類型 |
MailMessage |
string |
郵件訊息實體類型 |
Mailbox |
string |
信箱實體類型 |
Malware |
string |
惡意代碼實體類型 |
Process |
string |
處理實體類型 |
RegistryKey |
string |
登錄機碼實體類型 |
RegistryValue |
string |
登錄值實體類型 |
SecurityGroup |
string |
安全組實體類型 |
SubmissionMail |
string |
提交郵件實體類型 |
URL |
string |
URL 實體類型 |
EventGroupingAggregationKind
事件群組匯總類型
名稱 | 類型 | Description |
---|---|---|
AlertPerResult |
string |
|
SingleAlert |
string |
EventGroupingSettings
事件群組設定屬性包。
名稱 | 類型 | Description |
---|---|---|
aggregationKind |
事件群組匯總類型 |
FieldMapping
對應實體的單一欄位對應
名稱 | 類型 | Description |
---|---|---|
columnName |
string |
要對應至標識碼的數據行名稱 |
identifier |
string |
實體的 V3 識別碼 |
FusionAlertRuleTemplate
代表融合警示規則範本。
名稱 | 類型 | Description |
---|---|---|
id |
string |
資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Fusion |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertRulesCreatedByTemplateCount |
integer |
此範本所建立的警示規則數目 |
properties.createdDateUTC |
string |
已新增此警示規則範本的時間。 |
properties.description |
string |
警示規則範本的描述。 |
properties.displayName |
string |
警示規則範本的顯示名稱。 |
properties.lastUpdatedDateUTC |
string |
上次更新此警示規則範本的時間。 |
properties.requiredDataConnectors |
此範本的必要數據連接器 |
|
properties.severity |
此警示規則所建立之警示的嚴重性。 |
|
properties.status |
警示規則範本狀態。 |
|
properties.tactics |
警示規則範本的策略 |
|
properties.techniques |
string[] |
警示規則範本的技術 |
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
MicrosoftSecurityIncidentCreationAlertRuleTemplate
代表 MicrosoftSecurityIncidentCreation 規則範本。
名稱 | 類型 | Description |
---|---|---|
id |
string |
資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Microsoft |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertRulesCreatedByTemplateCount |
integer |
此範本所建立的警示規則數目 |
properties.createdDateUTC |
string |
已新增此警示規則範本的時間。 |
properties.description |
string |
警示規則範本的描述。 |
properties.displayName |
string |
警示規則範本的顯示名稱。 |
properties.displayNamesExcludeFilter |
string[] |
不會產生案例的 alerts' displayNames |
properties.displayNamesFilter |
string[] |
將產生案例的警示 displayNames |
properties.lastUpdatedDateUTC |
string |
上次更新此警示規則範本的時間。 |
properties.productFilter |
將產生案例的警示 productName |
|
properties.requiredDataConnectors |
此範本的必要數據連接器 |
|
properties.severitiesFilter |
將產生案例的警示嚴重性 |
|
properties.status |
警示規則範本狀態。 |
|
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
MicrosoftSecurityProductName
將產生案例的警示 productName
名稱 | 類型 | Description |
---|---|---|
Azure Active Directory Identity Protection |
string |
|
Azure Advanced Threat Protection |
string |
|
Azure Security Center |
string |
|
Azure Security Center for IoT |
string |
|
Microsoft Cloud App Security |
string |
ScheduledAlertRuleTemplate
表示已排程的警示規則範本。
名稱 | 類型 | Description |
---|---|---|
id |
string |
資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
Scheduled |
警示規則種類 |
name |
string |
資源的名稱 |
properties.alertDetailsOverride |
警示詳細數據覆寫設定 |
|
properties.alertRulesCreatedByTemplateCount |
integer |
此範本所建立的警示規則數目 |
properties.createdDateUTC |
string |
已新增此警示規則範本的時間。 |
properties.customDetails |
object |
要附加至警示的數據行字串索引鍵/值組字典 |
properties.description |
string |
警示規則範本的描述。 |
properties.displayName |
string |
警示規則範本的顯示名稱。 |
properties.entityMappings |
警示規則實體對應的陣列 |
|
properties.eventGroupingSettings |
事件群組設定。 |
|
properties.lastUpdatedDateUTC |
string |
上次更新此警示規則範本的時間。 |
properties.query |
string |
建立此規則警示的查詢。 |
properties.queryFrequency |
string |
要執行此警示規則的頻率 (ISO 8601 持續時間格式) 。 |
properties.queryPeriod |
string |
此警示規則) ISO 8601 持續時間格式的期間 (。 |
properties.requiredDataConnectors |
此範本的必要數據連接器 |
|
properties.severity |
此警示規則所建立之警示的嚴重性。 |
|
properties.status |
警示規則範本狀態。 |
|
properties.tactics |
警示規則範本的策略 |
|
properties.techniques |
string[] |
警示規則範本的技術 |
properties.triggerOperator |
針對觸發警示規則之閾值的作業。 |
|
properties.triggerThreshold |
integer |
臨界值會觸發此警示規則。 |
properties.version |
string |
此範本的版本 - 格式 <為 a.b.c>,其中全部都是數位。 例如 <1.0.2>。 |
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
systemData
與建立和上次修改資源相關的元數據。
名稱 | 類型 | Description |
---|---|---|
createdAt |
string |
資源建立的時間戳 (UTC) 。 |
createdBy |
string |
建立資源的身分識別。 |
createdByType |
建立資源的身分識別類型。 |
|
lastModifiedAt |
string |
上次修改的資源時間戳 (UTC) |
lastModifiedBy |
string |
上次修改資源的身分識別。 |
lastModifiedByType |
上次修改資源的身分識別類型。 |
TemplateStatus
警示規則範本狀態。
名稱 | 類型 | Description |
---|---|---|
Available |
string |
警示規則範本可供使用。 |
Installed |
string |
已安裝警示規則範本。 和不能再使用一次 |
NotAvailable |
string |
無法使用警示規則範本 |
TriggerOperator
針對觸發警示規則之閾值的作業。
名稱 | 類型 | Description |
---|---|---|
Equal |
string |
|
GreaterThan |
string |
|
LessThan |
string |
|
NotEqual |
string |