Automation Rules - Get
取得自動化規則。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2024-03-01
URI 參數
名稱 | 位於 | 必要 | 類型 | Description |
---|---|---|---|---|
automation
|
path | True |
string |
自動化規則標識碼 |
resource
|
path | True |
string |
資源群組的名稱。 名稱不區分大小寫。 |
subscription
|
path | True |
string uuid |
目標訂用帳戶的標識碼。 此值必須是 UUID。 |
workspace
|
path | True |
string |
工作區的名稱。 Regex 模式: |
api-version
|
query | True |
string |
用於此作業的 API 版本。 |
回應
名稱 | 類型 | Description |
---|---|---|
200 OK |
確定 |
|
Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
類型:
oauth2
Flow:
implicit
授權 URL:
https://login.microsoftonline.com/common/oauth2/authorize
範圍
名稱 | Description |
---|---|
user_impersonation | 模擬您的用戶帳戶 |
範例
AutomationRules_Get
範例要求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
範例回覆
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/automationRules",
"properties": {
"displayName": "Suspicious user sign-in events",
"order": 1,
"triggeringLogic": {
"isEnabled": true,
"triggersOn": "Incidents",
"triggersWhen": "Created",
"conditions": [
{
"conditionType": "Property",
"conditionProperties": {
"propertyName": "IncidentRelatedAnalyticRuleIds",
"operator": "Contains",
"propertyValues": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
]
}
}
]
},
"actions": [
{
"order": 1,
"actionType": "AddIncidentTask",
"actionConfiguration": {
"title": "Reset user passwords",
"description": "Reset passwords for compromised users."
}
}
],
"lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
"createdTimeUtc": "2019-01-01T13:00:00Z",
"lastModifiedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
},
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
}
}
}
定義
ActionType
自動化規則動作的類型。
名稱 | 類型 | Description |
---|---|---|
AddIncidentTask |
string |
將工作新增至事件物件 |
ModifyProperties |
string |
修改物件的屬性 |
RunPlaybook |
string |
在物件上執行劇本 |
AddIncidentTaskActionProperties
描述將工作新增至事件的自動化規則動作。
名稱 | 類型 | Description |
---|---|---|
description |
string |
工作的描述。 |
title |
string |
工作的標題。 |
AutomationRule
名稱 | 類型 | Description |
---|---|---|
etag |
string |
Azure 資源的 Etag |
id |
string |
資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
name |
string |
資源的名稱 |
properties.actions | AutomationRuleAction[]: |
觸發自動化規則時要執行的動作。 |
properties.createdBy |
用戶端 (用戶或應用程式) 進行一些動作的資訊 |
|
properties.createdTimeUtc |
string |
建立自動化規則的時間。 |
properties.displayName |
string |
自動化規則的顯示名稱。 |
properties.lastModifiedBy |
用戶端 (用戶或應用程式) 進行一些動作的資訊 |
|
properties.lastModifiedTimeUtc |
string |
上次更新自動化規則的時間。 |
properties.order |
integer |
自動化規則的執行順序。 |
properties.triggeringLogic |
描述自動化規則觸發邏輯。 |
|
systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
AutomationRuleAddIncidentTaskAction
描述將工作新增至事件的自動化規則動作
名稱 | 類型 | Description |
---|---|---|
actionConfiguration |
描述將工作新增至事件的自動化規則動作。 |
|
actionType |
string:
Add |
自動化規則動作的類型。 |
order |
integer |
AutomationRuleBooleanCondition
描述具有布爾運算子的自動化規則條件。
名稱 | 類型 | Description |
---|---|---|
innerConditions | AutomationRuleCondition[]: |
描述自動化規則條件。 |
operator |
描述布爾條件運算符。 |
AutomationRuleBooleanConditionSupportedOperator
描述布爾條件運算符。
名稱 | 類型 | Description |
---|---|---|
And |
string |
如果所有專案條件都評估為 true,則會評估為 true |
Or |
string |
如果至少有一個專案條件評估為 true,則會評估為 true |
AutomationRuleModifyPropertiesAction
描述修改物件屬性的自動化規則動作
名稱 | 類型 | Description |
---|---|---|
actionConfiguration | ||
actionType |
string:
Modify |
自動化規則動作的類型。 |
order |
integer |
AutomationRulePropertyArrayChangedConditionSupportedArrayType
名稱 | 類型 | Description |
---|---|---|
Alerts |
string |
評估警示的條件 |
Comments |
string |
評估批注的條件 |
Labels |
string |
評估標籤的條件 |
Tactics |
string |
評估策略的條件 |
AutomationRulePropertyArrayChangedConditionSupportedChangeType
名稱 | 類型 | Description |
---|---|---|
Added |
string |
評估新增至陣列之項目的條件 |
AutomationRulePropertyArrayChangedValuesCondition
名稱 | 類型 | Description |
---|---|---|
arrayType |
Automation |
|
changeType |
Automation |
AutomationRulePropertyArrayConditionSupportedArrayConditionType
描述陣列條件評估類型。
名稱 | 類型 | Description |
---|---|---|
AnyItem |
string |
如果有任何專案滿足條件,請評估條件為 true |
AutomationRulePropertyArrayConditionSupportedArrayType
描述陣列條件評估的陣列類型。
名稱 | 類型 | Description |
---|---|---|
CustomDetailValues |
string |
評估自定義詳細數據值的條件 |
CustomDetails |
string |
評估自定義詳細數據索引鍵的條件 |
AutomationRulePropertyArrayValuesCondition
描述陣列屬性上的自動化規則條件。
名稱 | 類型 | Description |
---|---|---|
arrayConditionType |
Automation |
描述陣列條件評估類型。 |
arrayType |
描述陣列條件評估的陣列類型。 |
|
itemConditions | AutomationRuleCondition[]: |
描述自動化規則條件。 |
AutomationRulePropertyChangedConditionSupportedChangedType
名稱 | 類型 | Description |
---|---|---|
ChangedFrom |
string |
評估屬性先前值的條件 |
ChangedTo |
string |
評估屬性更新值的條件 |
AutomationRulePropertyChangedConditionSupportedPropertyType
名稱 | 類型 | Description |
---|---|---|
IncidentOwner |
string |
評估事件擁有者的條件 |
IncidentSeverity |
string |
評估事件嚴重性的條件 |
IncidentStatus |
string |
評估事件狀態的條件 |
AutomationRulePropertyConditionSupportedOperator
名稱 | 類型 | Description |
---|---|---|
Contains |
string |
評估屬性是否至少包含其中一個條件值 |
EndsWith |
string |
評估屬性是否以任何條件值結尾 |
Equals |
string |
評估屬性是否至少等於其中一個條件值 |
NotContains |
string |
評估屬性是否不包含任何條件值 |
NotEndsWith |
string |
評估屬性是否未以任何條件值結尾 |
NotEquals |
string |
評估屬性是否不等於任何條件值 |
NotStartsWith |
string |
評估屬性是否不是以任何條件值開頭 |
StartsWith |
string |
評估屬性是否以任何條件值開頭 |
AutomationRulePropertyConditionSupportedProperty
在自動化規則屬性條件中評估的屬性。
名稱 | 類型 | Description |
---|---|---|
AccountAadTenantId |
string |
帳戶 Azure Active Directory 租用戶標識碼 |
AccountAadUserId |
string |
帳戶 Azure Active Directory 用戶標識碼 |
AccountNTDomain |
string |
帳戶 NetBIOS 功能變數名稱 |
AccountName |
string |
帳戶名稱 |
AccountObjectGuid |
string |
帳戶唯一標識碼 |
AccountPUID |
string |
Azure Active Directory Passport 使用者標識符帳戶 |
AccountSid |
string |
帳戶安全性標識碼 |
AccountUPNSuffix |
string |
帳戶用戶主體名稱後綴 |
AlertAnalyticRuleIds |
string |
警示的分析規則標識碼 |
AlertProductNames |
string |
警示的產品名稱 |
AzureResourceResourceId |
string |
Azure 資源標識碼 |
AzureResourceSubscriptionId |
string |
Azure 資源訂用帳戶標識碼 |
CloudApplicationAppId |
string |
雲端應用程式識別碼 |
CloudApplicationAppName |
string |
雲端應用程式名稱 |
DNSDomainName |
string |
dns 記錄功能變數名稱 |
FileDirectory |
string |
檔案目錄完整路徑 |
FileHashValue |
string |
檔案哈希值 |
FileName |
string |
沒有路徑的檔名 |
HostAzureID |
string |
主機 Azure 資源識別碼 |
HostNTDomain |
string |
主機 NT 網域 |
HostName |
string |
不含網域的主機名 |
HostNetBiosName |
string |
主機 NetBIOS 名稱 |
HostOSVersion |
string |
主機作業系統 |
IPAddress |
string |
IP 位址 |
IncidentCustomDetailsKey |
string |
事件自定義詳細數據索引鍵 |
IncidentCustomDetailsValue |
string |
事件自定義詳細數據值 |
IncidentDescription |
string |
事件的描述 |
IncidentLabel |
string |
事件的標籤 |
IncidentProviderName |
string |
事件的提供者名稱 |
IncidentRelatedAnalyticRuleIds |
string |
事件的相關分析規則標識碼 |
IncidentSeverity |
string |
事件的嚴重性 |
IncidentStatus |
string |
事件的狀態 |
IncidentTactics |
string |
事件的策略 |
IncidentTitle |
string |
事件的標題 |
IncidentUpdatedBySource |
string |
事件的更新來源 |
IoTDeviceId |
string |
「IoT 裝置識別碼 |
IoTDeviceModel |
string |
IoT 裝置型號 |
IoTDeviceName |
string |
IoT 裝置名稱 |
IoTDeviceOperatingSystem |
string |
IoT 裝置作業系統 |
IoTDeviceType |
string |
IoT 裝置類型 |
IoTDeviceVendor |
string |
IoT 裝置廠商 |
MailMessageDeliveryAction |
string |
郵件訊息傳遞動作 |
MailMessageDeliveryLocation |
string |
郵件訊息傳遞位置 |
MailMessageP1Sender |
string |
郵件訊息 P1 寄件者 |
MailMessageP2Sender |
string |
郵件訊息 P2 發件者 |
MailMessageRecipient |
string |
郵件訊息收件者 |
MailMessageSenderIP |
string |
郵件訊息寄件者IP位址 |
MailMessageSubject |
string |
郵件郵件主旨 |
MailboxDisplayName |
string |
信箱顯示名稱 |
MailboxPrimaryAddress |
string |
信箱主要位址 |
MailboxUPN |
string |
信箱用戶主體名稱 |
MalwareCategory |
string |
惡意代碼類別 |
MalwareName |
string |
惡意代碼名稱 |
ProcessCommandLine |
string |
進程執行命令行 |
ProcessId |
string |
進程標識碼 |
RegistryKey |
string |
登錄機碼路徑 |
RegistryValueData |
string |
字串格式表示法中的登錄機碼值 |
Url |
string |
URL |
AutomationRulePropertyValuesChangedCondition
名稱 | 類型 | Description |
---|---|---|
changeType | ||
operator | ||
propertyName | ||
propertyValues |
string[] |
AutomationRulePropertyValuesCondition
名稱 | 類型 | Description |
---|---|---|
operator | ||
propertyName |
在自動化規則屬性條件中評估的屬性。 |
|
propertyValues |
string[] |
AutomationRuleRunPlaybookAction
描述執行劇本的自動化規則動作
名稱 | 類型 | Description |
---|---|---|
actionConfiguration | ||
actionType |
string:
Run |
自動化規則動作的類型。 |
order |
integer |
AutomationRuleTriggeringLogic
描述自動化規則觸發邏輯。
名稱 | 類型 | Description |
---|---|---|
conditions | AutomationRuleCondition[]: |
要評估以判斷是否應在指定物件上觸發自動化規則的條件。 |
expirationTimeUtc |
string |
判斷自動化規則何時應該自動到期並停用。 |
isEnabled |
boolean |
判斷自動化規則已啟用或停用。 |
triggersOn | ||
triggersWhen |
BooleanConditionProperties
描述套用布爾運算子 (例如 AND、OR) 條件的自動化規則條件
名稱 | 類型 | Description |
---|---|---|
conditionProperties |
描述具有布爾運算子的自動化規則條件。 |
|
conditionType |
string:
Boolean |
ClientInfo
用戶端 (用戶或應用程式) 進行一些動作的資訊
名稱 | 類型 | Description |
---|---|---|
string |
用戶端的電子郵件。 |
|
name |
string |
用戶端的名稱。 |
objectId |
string |
用戶端的物件識別碼。 |
userPrincipalName |
string |
用戶端的用戶主體名稱。 |
CloudError
錯誤回應結構。
名稱 | 類型 | Description |
---|---|---|
error |
錯誤數據 |
CloudErrorBody
錯誤詳細數據。
名稱 | 類型 | Description |
---|---|---|
code |
string |
錯誤的識別碼。 程式碼不變,且要以程式設計方式使用。 |
message |
string |
描述錯誤的訊息,適用於在使用者介面中顯示。 |
ConditionType
名稱 | 類型 | Description |
---|---|---|
Boolean |
string |
將布爾運算子 (例如 AND、OR) 套用至條件 |
Property |
string |
評估物件屬性值 |
PropertyArray |
string |
評估物件陣列屬性值 |
PropertyArrayChanged |
string |
評估物件陣列屬性已變更的值 |
PropertyChanged |
string |
評估物件屬性已變更的值 |
createdByType
建立資源的身分識別類型。
名稱 | 類型 | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
IncidentClassification
事件關閉的原因
名稱 | 類型 | Description |
---|---|---|
BenignPositive |
string |
事件為良性正面 |
FalsePositive |
string |
事件誤判為真 |
TruePositive |
string |
事件確判為真 |
Undetermined |
string |
事件分類未決定 |
IncidentClassificationReason
事件已關閉的分類原因
名稱 | 類型 | Description |
---|---|---|
InaccurateData |
string |
分類原因不正確數據 |
IncorrectAlertLogic |
string |
分類原因不正確警示邏輯 |
SuspiciousActivity |
string |
分類原因為可疑活動 |
SuspiciousButExpected |
string |
分類原因可疑,但預期 |
IncidentLabel
代表事件標籤
名稱 | 類型 | Description |
---|---|---|
labelName |
string |
標籤名稱 |
labelType |
標籤的類型 |
IncidentLabelType
標籤的類型
名稱 | 類型 | Description |
---|---|---|
AutoAssigned |
string |
系統自動建立的標籤 |
User |
string |
用戶手動建立的標籤 |
IncidentOwnerInfo
指派事件給用戶的資訊
名稱 | 類型 | Description |
---|---|---|
assignedTo |
string |
指派事件的用戶名稱。 |
string |
指派事件之用戶的電子郵件。 |
|
objectId |
string |
指派事件之用戶的物件識別碼。 |
ownerType |
事件指派給的擁有者類型。 |
|
userPrincipalName |
string |
指派事件之用戶的用戶主體名稱。 |
IncidentPropertiesAction
名稱 | 類型 | Description |
---|---|---|
classification |
事件關閉的原因 |
|
classificationComment |
string |
描述事件關閉的原因。 |
classificationReason |
事件已關閉的分類原因 |
|
labels |
要新增至事件的標籤清單。 |
|
owner |
指派事件給用戶的資訊 |
|
severity |
事件的嚴重性 |
|
status |
事件的狀態 |
IncidentSeverity
事件的嚴重性
名稱 | 類型 | Description |
---|---|---|
High |
string |
高嚴重性 |
Informational |
string |
資訊嚴重性 |
Low |
string |
低嚴重性 |
Medium |
string |
中嚴重性 |
IncidentStatus
事件的狀態
名稱 | 類型 | Description |
---|---|---|
Active |
string |
正在處理的作用中事件 |
Closed |
string |
非作用中事件 |
New |
string |
目前未處理的作用中事件 |
OwnerType
事件指派給的擁有者類型。
名稱 | 類型 | Description |
---|---|---|
Group |
string |
事件擁有者類型是 AAD 群組 |
Unknown |
string |
事件擁有者類型未知 |
User |
string |
事件擁有者類型是 AAD 使用者 |
PlaybookActionProperties
名稱 | 類型 | Description |
---|---|---|
logicAppResourceId |
string |
劇本資源的資源標識碼。 |
tenantId |
string |
劇本資源的租用戶標識碼。 |
PropertyArrayChangedConditionProperties
描述評估陣列屬性值變更的自動化規則條件
名稱 | 類型 | Description |
---|---|---|
conditionProperties | ||
conditionType |
string:
Property |
PropertyArrayConditionProperties
描述評估數位屬性值的自動化規則條件
名稱 | 類型 | Description |
---|---|---|
conditionProperties |
描述陣列屬性上的自動化規則條件。 |
|
conditionType |
string:
Property |
PropertyChangedConditionProperties
描述評估屬性值變更的自動化規則條件
名稱 | 類型 | Description |
---|---|---|
conditionProperties | ||
conditionType |
string:
Property |
PropertyConditionProperties
描述評估屬性值的自動化規則條件
名稱 | 類型 | Description |
---|---|---|
conditionProperties | ||
conditionType |
string:
Property |
systemData
與建立和上次修改資源相關的元數據。
名稱 | 類型 | Description |
---|---|---|
createdAt |
string |
資源建立的時間戳 (UTC) 。 |
createdBy |
string |
建立資源的身分識別。 |
createdByType |
建立資源的身分識別類型。 |
|
lastModifiedAt |
string |
上次修改的資源時間戳 (UTC) |
lastModifiedBy |
string |
上次修改資源的身分識別。 |
lastModifiedByType |
上次修改資源的身分識別類型。 |
triggersOn
名稱 | 類型 | Description |
---|---|---|
Alerts |
string |
警示上的觸發程式 |
Incidents |
string |
事件觸發程式 |
triggersWhen
名稱 | 類型 | Description |
---|---|---|
Created |
string |
在已建立的物件上觸發程式 |
Updated |
string |
更新物件的觸發程式 |