Automation Rules - Get
取得自動化規則。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2024-03-01URI 參數
| 名稱 | 位於 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
automation
|
path | True |
string |
自動化規則標識碼 |
|
resource
|
path | True |
string |
資源群組的名稱。 名稱不區分大小寫。 |
|
subscription
|
path | True |
string uuid |
目標訂用帳戶的標識碼。 此值必須是 UUID。 |
|
workspace
|
path | True |
string |
工作區的名稱。 Regex 模式: |
|
api-version
|
query | True |
string |
用於此作業的 API 版本。 |
回應
| 名稱 | 類型 | Description |
|---|---|---|
| 200 OK |
確定 |
|
| Other Status Codes |
描述作業失敗原因的錯誤回應。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow
類型:
oauth2
Flow:
implicit
授權 URL:
https://login.microsoftonline.com/common/oauth2/authorize
範圍
| 名稱 | Description |
|---|---|
| user_impersonation | 模擬您的用戶帳戶 |
範例
AutomationRules_Get
範例要求
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-03-01
範例回覆
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/automationRules",
"properties": {
"displayName": "Suspicious user sign-in events",
"order": 1,
"triggeringLogic": {
"isEnabled": true,
"triggersOn": "Incidents",
"triggersWhen": "Created",
"conditions": [
{
"conditionType": "Property",
"conditionProperties": {
"propertyName": "IncidentRelatedAnalyticRuleIds",
"operator": "Contains",
"propertyValues": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
]
}
}
]
},
"actions": [
{
"order": 1,
"actionType": "AddIncidentTask",
"actionConfiguration": {
"title": "Reset user passwords",
"description": "Reset passwords for compromised users."
}
}
],
"lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
"createdTimeUtc": "2019-01-01T13:00:00Z",
"lastModifiedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
},
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
}
}
}定義
ActionType
自動化規則動作的類型。
| 名稱 | 類型 | Description |
|---|---|---|
| AddIncidentTask |
string |
將工作新增至事件物件 |
| ModifyProperties |
string |
修改物件的屬性 |
| RunPlaybook |
string |
在物件上執行劇本 |
AddIncidentTaskActionProperties
描述將工作新增至事件的自動化規則動作。
| 名稱 | 類型 | Description |
|---|---|---|
| description |
string |
工作的描述。 |
| title |
string |
工作的標題。 |
AutomationRule
| 名稱 | 類型 | Description |
|---|---|---|
| etag |
string |
Azure 資源的 Etag |
| id |
string |
資源的完整資源識別碼。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
資源的名稱 |
| properties.actions | AutomationRuleAction[]: |
觸發自動化規則時要執行的動作。 |
| properties.createdBy |
用戶端 (用戶或應用程式) 進行一些動作的資訊 |
|
| properties.createdTimeUtc |
string |
建立自動化規則的時間。 |
| properties.displayName |
string |
自動化規則的顯示名稱。 |
| properties.lastModifiedBy |
用戶端 (用戶或應用程式) 進行一些動作的資訊 |
|
| properties.lastModifiedTimeUtc |
string |
上次更新自動化規則的時間。 |
| properties.order |
integer |
自動化規則的執行順序。 |
| properties.triggeringLogic |
描述自動化規則觸發邏輯。 |
|
| systemData |
Azure Resource Manager 包含 createdBy 和 modifiedBy 資訊的中繼資料。 |
|
| type |
string |
資源類型。 例如“Microsoft.Compute/virtualMachines” 或 “Microsoft.Storage/storageAccounts” |
AutomationRuleAddIncidentTaskAction
描述將工作新增至事件的自動化規則動作
| 名稱 | 類型 | Description |
|---|---|---|
| actionConfiguration |
描述將工作新增至事件的自動化規則動作。 |
|
| actionType |
string:
Add |
自動化規則動作的類型。 |
| order |
integer |
AutomationRuleBooleanCondition
描述具有布爾運算子的自動化規則條件。
| 名稱 | 類型 | Description |
|---|---|---|
| innerConditions | AutomationRuleCondition[]: |
描述自動化規則條件。 |
| operator |
描述布爾條件運算符。 |
AutomationRuleBooleanConditionSupportedOperator
描述布爾條件運算符。
| 名稱 | 類型 | Description |
|---|---|---|
| And |
string |
如果所有專案條件都評估為 true,則會評估為 true |
| Or |
string |
如果至少有一個專案條件評估為 true,則會評估為 true |
AutomationRuleModifyPropertiesAction
描述修改物件屬性的自動化規則動作
| 名稱 | 類型 | Description |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Modify |
自動化規則動作的類型。 |
| order |
integer |
AutomationRulePropertyArrayChangedConditionSupportedArrayType
| 名稱 | 類型 | Description |
|---|---|---|
| Alerts |
string |
評估警示的條件 |
| Comments |
string |
評估批注的條件 |
| Labels |
string |
評估標籤的條件 |
| Tactics |
string |
評估策略的條件 |
AutomationRulePropertyArrayChangedConditionSupportedChangeType
| 名稱 | 類型 | Description |
|---|---|---|
| Added |
string |
評估新增至陣列之項目的條件 |
AutomationRulePropertyArrayChangedValuesCondition
| 名稱 | 類型 | Description |
|---|---|---|
| arrayType |
Automation |
|
| changeType |
Automation |
AutomationRulePropertyArrayConditionSupportedArrayConditionType
描述陣列條件評估類型。
| 名稱 | 類型 | Description |
|---|---|---|
| AnyItem |
string |
如果有任何專案滿足條件,請評估條件為 true |
AutomationRulePropertyArrayConditionSupportedArrayType
描述陣列條件評估的陣列類型。
| 名稱 | 類型 | Description |
|---|---|---|
| CustomDetailValues |
string |
評估自定義詳細數據值的條件 |
| CustomDetails |
string |
評估自定義詳細數據索引鍵的條件 |
AutomationRulePropertyArrayValuesCondition
描述陣列屬性上的自動化規則條件。
| 名稱 | 類型 | Description |
|---|---|---|
| arrayConditionType |
Automation |
描述陣列條件評估類型。 |
| arrayType |
描述陣列條件評估的陣列類型。 |
|
| itemConditions | AutomationRuleCondition[]: |
描述自動化規則條件。 |
AutomationRulePropertyChangedConditionSupportedChangedType
| 名稱 | 類型 | Description |
|---|---|---|
| ChangedFrom |
string |
評估屬性先前值的條件 |
| ChangedTo |
string |
評估屬性更新值的條件 |
AutomationRulePropertyChangedConditionSupportedPropertyType
| 名稱 | 類型 | Description |
|---|---|---|
| IncidentOwner |
string |
評估事件擁有者的條件 |
| IncidentSeverity |
string |
評估事件嚴重性的條件 |
| IncidentStatus |
string |
評估事件狀態的條件 |
AutomationRulePropertyConditionSupportedOperator
| 名稱 | 類型 | Description |
|---|---|---|
| Contains |
string |
評估屬性是否至少包含其中一個條件值 |
| EndsWith |
string |
評估屬性是否以任何條件值結尾 |
| Equals |
string |
評估屬性是否至少等於其中一個條件值 |
| NotContains |
string |
評估屬性是否不包含任何條件值 |
| NotEndsWith |
string |
評估屬性是否未以任何條件值結尾 |
| NotEquals |
string |
評估屬性是否不等於任何條件值 |
| NotStartsWith |
string |
評估屬性是否不是以任何條件值開頭 |
| StartsWith |
string |
評估屬性是否以任何條件值開頭 |
AutomationRulePropertyConditionSupportedProperty
在自動化規則屬性條件中評估的屬性。
| 名稱 | 類型 | Description |
|---|---|---|
| AccountAadTenantId |
string |
帳戶 Azure Active Directory 租用戶標識碼 |
| AccountAadUserId |
string |
帳戶 Azure Active Directory 用戶標識碼 |
| AccountNTDomain |
string |
帳戶 NetBIOS 功能變數名稱 |
| AccountName |
string |
帳戶名稱 |
| AccountObjectGuid |
string |
帳戶唯一標識碼 |
| AccountPUID |
string |
Azure Active Directory Passport 使用者標識符帳戶 |
| AccountSid |
string |
帳戶安全性標識碼 |
| AccountUPNSuffix |
string |
帳戶用戶主體名稱後綴 |
| AlertAnalyticRuleIds |
string |
警示的分析規則標識碼 |
| AlertProductNames |
string |
警示的產品名稱 |
| AzureResourceResourceId |
string |
Azure 資源標識碼 |
| AzureResourceSubscriptionId |
string |
Azure 資源訂用帳戶標識碼 |
| CloudApplicationAppId |
string |
雲端應用程式識別碼 |
| CloudApplicationAppName |
string |
雲端應用程式名稱 |
| DNSDomainName |
string |
dns 記錄功能變數名稱 |
| FileDirectory |
string |
檔案目錄完整路徑 |
| FileHashValue |
string |
檔案哈希值 |
| FileName |
string |
沒有路徑的檔名 |
| HostAzureID |
string |
主機 Azure 資源識別碼 |
| HostNTDomain |
string |
主機 NT 網域 |
| HostName |
string |
不含網域的主機名 |
| HostNetBiosName |
string |
主機 NetBIOS 名稱 |
| HostOSVersion |
string |
主機作業系統 |
| IPAddress |
string |
IP 位址 |
| IncidentCustomDetailsKey |
string |
事件自定義詳細數據索引鍵 |
| IncidentCustomDetailsValue |
string |
事件自定義詳細數據值 |
| IncidentDescription |
string |
事件的描述 |
| IncidentLabel |
string |
事件的標籤 |
| IncidentProviderName |
string |
事件的提供者名稱 |
| IncidentRelatedAnalyticRuleIds |
string |
事件的相關分析規則標識碼 |
| IncidentSeverity |
string |
事件的嚴重性 |
| IncidentStatus |
string |
事件的狀態 |
| IncidentTactics |
string |
事件的策略 |
| IncidentTitle |
string |
事件的標題 |
| IncidentUpdatedBySource |
string |
事件的更新來源 |
| IoTDeviceId |
string |
「IoT 裝置識別碼 |
| IoTDeviceModel |
string |
IoT 裝置型號 |
| IoTDeviceName |
string |
IoT 裝置名稱 |
| IoTDeviceOperatingSystem |
string |
IoT 裝置作業系統 |
| IoTDeviceType |
string |
IoT 裝置類型 |
| IoTDeviceVendor |
string |
IoT 裝置廠商 |
| MailMessageDeliveryAction |
string |
郵件訊息傳遞動作 |
| MailMessageDeliveryLocation |
string |
郵件訊息傳遞位置 |
| MailMessageP1Sender |
string |
郵件訊息 P1 寄件者 |
| MailMessageP2Sender |
string |
郵件訊息 P2 發件者 |
| MailMessageRecipient |
string |
郵件訊息收件者 |
| MailMessageSenderIP |
string |
郵件訊息寄件者IP位址 |
| MailMessageSubject |
string |
郵件郵件主旨 |
| MailboxDisplayName |
string |
信箱顯示名稱 |
| MailboxPrimaryAddress |
string |
信箱主要位址 |
| MailboxUPN |
string |
信箱用戶主體名稱 |
| MalwareCategory |
string |
惡意代碼類別 |
| MalwareName |
string |
惡意代碼名稱 |
| ProcessCommandLine |
string |
進程執行命令行 |
| ProcessId |
string |
進程標識碼 |
| RegistryKey |
string |
登錄機碼路徑 |
| RegistryValueData |
string |
字串格式表示法中的登錄機碼值 |
| Url |
string |
URL |
AutomationRulePropertyValuesChangedCondition
| 名稱 | 類型 | Description |
|---|---|---|
| changeType | ||
| operator | ||
| propertyName | ||
| propertyValues |
string[] |
AutomationRulePropertyValuesCondition
| 名稱 | 類型 | Description |
|---|---|---|
| operator | ||
| propertyName |
在自動化規則屬性條件中評估的屬性。 |
|
| propertyValues |
string[] |
AutomationRuleRunPlaybookAction
描述執行劇本的自動化規則動作
| 名稱 | 類型 | Description |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Run |
自動化規則動作的類型。 |
| order |
integer |
AutomationRuleTriggeringLogic
描述自動化規則觸發邏輯。
| 名稱 | 類型 | Description |
|---|---|---|
| conditions | AutomationRuleCondition[]: |
要評估以判斷是否應在指定物件上觸發自動化規則的條件。 |
| expirationTimeUtc |
string |
判斷自動化規則何時應該自動到期並停用。 |
| isEnabled |
boolean |
判斷自動化規則已啟用或停用。 |
| triggersOn | ||
| triggersWhen |
BooleanConditionProperties
描述套用布爾運算子 (例如 AND、OR) 條件的自動化規則條件
| 名稱 | 類型 | Description |
|---|---|---|
| conditionProperties |
描述具有布爾運算子的自動化規則條件。 |
|
| conditionType |
string:
Boolean |
ClientInfo
用戶端 (用戶或應用程式) 進行一些動作的資訊
| 名稱 | 類型 | Description |
|---|---|---|
|
string |
用戶端的電子郵件。 |
|
| name |
string |
用戶端的名稱。 |
| objectId |
string |
用戶端的物件識別碼。 |
| userPrincipalName |
string |
用戶端的用戶主體名稱。 |
CloudError
錯誤回應結構。
| 名稱 | 類型 | Description |
|---|---|---|
| error |
錯誤數據 |
CloudErrorBody
錯誤詳細數據。
| 名稱 | 類型 | Description |
|---|---|---|
| code |
string |
錯誤的識別碼。 程式碼不變,且要以程式設計方式使用。 |
| message |
string |
描述錯誤的訊息,適用於在使用者介面中顯示。 |
ConditionType
| 名稱 | 類型 | Description |
|---|---|---|
| Boolean |
string |
將布爾運算子 (例如 AND、OR) 套用至條件 |
| Property |
string |
評估物件屬性值 |
| PropertyArray |
string |
評估物件陣列屬性值 |
| PropertyArrayChanged |
string |
評估物件陣列屬性已變更的值 |
| PropertyChanged |
string |
評估物件屬性已變更的值 |
createdByType
建立資源的身分識別類型。
| 名稱 | 類型 | Description |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
IncidentClassification
事件關閉的原因
| 名稱 | 類型 | Description |
|---|---|---|
| BenignPositive |
string |
事件為良性正面 |
| FalsePositive |
string |
事件誤判為真 |
| TruePositive |
string |
事件確判為真 |
| Undetermined |
string |
事件分類未決定 |
IncidentClassificationReason
事件已關閉的分類原因
| 名稱 | 類型 | Description |
|---|---|---|
| InaccurateData |
string |
分類原因不正確數據 |
| IncorrectAlertLogic |
string |
分類原因不正確警示邏輯 |
| SuspiciousActivity |
string |
分類原因為可疑活動 |
| SuspiciousButExpected |
string |
分類原因可疑,但預期 |
IncidentLabel
代表事件標籤
| 名稱 | 類型 | Description |
|---|---|---|
| labelName |
string |
標籤名稱 |
| labelType |
標籤的類型 |
IncidentLabelType
標籤的類型
| 名稱 | 類型 | Description |
|---|---|---|
| AutoAssigned |
string |
系統自動建立的標籤 |
| User |
string |
用戶手動建立的標籤 |
IncidentOwnerInfo
指派事件給用戶的資訊
| 名稱 | 類型 | Description |
|---|---|---|
| assignedTo |
string |
指派事件的用戶名稱。 |
|
string |
指派事件之用戶的電子郵件。 |
|
| objectId |
string |
指派事件之用戶的物件識別碼。 |
| ownerType |
事件指派給的擁有者類型。 |
|
| userPrincipalName |
string |
指派事件之用戶的用戶主體名稱。 |
IncidentPropertiesAction
| 名稱 | 類型 | Description |
|---|---|---|
| classification |
事件關閉的原因 |
|
| classificationComment |
string |
描述事件關閉的原因。 |
| classificationReason |
事件已關閉的分類原因 |
|
| labels |
要新增至事件的標籤清單。 |
|
| owner |
指派事件給用戶的資訊 |
|
| severity |
事件的嚴重性 |
|
| status |
事件的狀態 |
IncidentSeverity
事件的嚴重性
| 名稱 | 類型 | Description |
|---|---|---|
| High |
string |
高嚴重性 |
| Informational |
string |
資訊嚴重性 |
| Low |
string |
低嚴重性 |
| Medium |
string |
中嚴重性 |
IncidentStatus
事件的狀態
| 名稱 | 類型 | Description |
|---|---|---|
| Active |
string |
正在處理的作用中事件 |
| Closed |
string |
非作用中事件 |
| New |
string |
目前未處理的作用中事件 |
OwnerType
事件指派給的擁有者類型。
| 名稱 | 類型 | Description |
|---|---|---|
| Group |
string |
事件擁有者類型是 AAD 群組 |
| Unknown |
string |
事件擁有者類型未知 |
| User |
string |
事件擁有者類型是 AAD 使用者 |
PlaybookActionProperties
| 名稱 | 類型 | Description |
|---|---|---|
| logicAppResourceId |
string |
劇本資源的資源標識碼。 |
| tenantId |
string |
劇本資源的租用戶標識碼。 |
PropertyArrayChangedConditionProperties
描述評估陣列屬性值變更的自動化規則條件
| 名稱 | 類型 | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyArrayConditionProperties
描述評估數位屬性值的自動化規則條件
| 名稱 | 類型 | Description |
|---|---|---|
| conditionProperties |
描述陣列屬性上的自動化規則條件。 |
|
| conditionType |
string:
Property |
PropertyChangedConditionProperties
描述評估屬性值變更的自動化規則條件
| 名稱 | 類型 | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyConditionProperties
描述評估屬性值的自動化規則條件
| 名稱 | 類型 | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
systemData
與建立和上次修改資源相關的元數據。
| 名稱 | 類型 | Description |
|---|---|---|
| createdAt |
string |
資源建立的時間戳 (UTC) 。 |
| createdBy |
string |
建立資源的身分識別。 |
| createdByType |
建立資源的身分識別類型。 |
|
| lastModifiedAt |
string |
上次修改的資源時間戳 (UTC) |
| lastModifiedBy |
string |
上次修改資源的身分識別。 |
| lastModifiedByType |
上次修改資源的身分識別類型。 |
triggersOn
| 名稱 | 類型 | Description |
|---|---|---|
| Alerts |
string |
警示上的觸發程式 |
| Incidents |
string |
事件觸發程式 |
triggersWhen
| 名稱 | 類型 | Description |
|---|---|---|
| Created |
string |
在已建立的物件上觸發程式 |
| Updated |
string |
更新物件的觸發程式 |