Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
- последние
- 2025-09-01
- 2025-07-01-preview
- 2025-06-01
- 2025-04-01-превью
- 2025-03-01
- 2025-01-01-превью
- 2024-10-01-превью
- 2024-09-01
- 2024-04-01-превью
- 2024-03-01
- 2024-01-01-превью
- 2023-12-01-превью
- 2023-11-01
- 2023-10-01-превью
- 2023-09-01-превью
- 2023-08-01-превью
- 2023-07-01-превью
- 2023-06-01-превью
- 2023-05-01-превью
- 2023-04-01-превью
- 2023-03-01-превью
- 2023-02-01
- 2023-02-01-превью
- 2022-12-01-превью
- 2022-11-01
- 2022-11-01-превью
- 2022-10-01-превью
- 2022-09-01-превью
- 2022-08-01
- 2022-08-01-превью
- 2022-07-01-превью
- 2022-06-01-превью
- 2022-05-01-превью
- 2022-04-01-превью
- 2022-01-01-превью
- 2021-10-01
- 2021-10-01-превью
- 2021-09-01-превью
- 2021-03-01-превью
- 2020-01-01
- 2019-01-01-превью
Определение ресурсов Bicep
Тип ресурса alertRules можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.SecurityInsights/alertRules@2025-03-01' = {
etag: 'string'
name: 'string'
kind: 'string'
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Объекты Microsoft.SecurityInsights/alertRules
Задайте свойство типа, чтобы указать тип объекта.
Для Fusionиспользуйте:
{
kind: 'Fusion'
properties: {
alertRuleTemplateName: 'string'
enabled: bool
}
}
Для MicrosoftSecurityIncidentCreationиспользуйте следующее:
{
kind: 'MicrosoftSecurityIncidentCreation'
properties: {
alertRuleTemplateName: 'string'
description: 'string'
displayName: 'string'
displayNamesExcludeFilter: [
'string'
]
displayNamesFilter: [
'string'
]
enabled: bool
productFilter: 'string'
severitiesFilter: [
'string'
]
}
}
Для запланированныхиспользуйте:
{
kind: 'Scheduled'
properties: {
alertDetailsOverride: {
alertDescriptionFormat: 'string'
alertDisplayNameFormat: 'string'
alertDynamicProperties: [
{
alertProperty: 'string'
value: 'string'
}
]
alertSeverityColumnName: 'string'
alertTacticsColumnName: 'string'
}
alertRuleTemplateName: 'string'
customDetails: {
{customized property}: 'string'
}
description: 'string'
displayName: 'string'
enabled: bool
entityMappings: [
{
entityType: 'string'
fieldMappings: [
{
columnName: 'string'
identifier: 'string'
}
]
}
]
eventGroupingSettings: {
aggregationKind: 'string'
}
incidentConfiguration: {
createIncident: bool
groupingConfiguration: {
enabled: bool
groupByAlertDetails: [
'string'
]
groupByCustomDetails: [
'string'
]
groupByEntities: [
'string'
]
lookbackDuration: 'string'
matchingMethod: 'string'
reopenClosedIncident: bool
}
}
query: 'string'
queryFrequency: 'string'
queryPeriod: 'string'
severity: 'string'
suppressionDuration: 'string'
suppressionEnabled: bool
tactics: [
'string'
]
techniques: [
'string'
]
templateVersion: 'string'
triggerOperator: 'string'
triggerThreshold: int
}
}
Значения свойств
Microsoft.SecurityInsights/alertRules (Microsoft.SecurityInsights/alert)
| Имя | Описание | Ценность |
|---|---|---|
| ETag | Etag ресурса Azure | струна |
| добрый | Установите значение Fusion для типа FusionAlertRule. Установите значение MicrosoftSecurityIncidentCreation для типа MicrosoftSecurityIncidentCreationAlertRule. Установите значение Scheduled для типа ScheduledAlertRule. | «Фьюжн» "MicrosoftSecurityIncidentCreation" "Scheduled" (обязательный) |
| имя | Имя ресурса | строка (обязательно) |
| размах | Используется при создании ресурса в области, отличной от области развертывания. | Задайте для этого свойства символьное имя ресурса, чтобы применить ресурс расширения. |
AlertDetailsOverride
| Имя | Описание | Ценность |
|---|---|---|
| alertDescriptionFormat | Формат, содержащий имена столбцов, чтобы переопределить описание оповещения | струна |
| alertDisplayNameFormat | Формат, содержащий имена столбцов, чтобы переопределить имя оповещения | струна |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | Имя столбца для получения серьезности оповещений | струна |
| alertTacticsColumnName | Имя столбца для принятия тактики оповещений из | струна |
AlertPropertyMapping
| Имя | Описание | Ценность |
|---|---|---|
| alertProperty | Свойство оповещения версии 3 | AlertLink "ConfidenceLevel" "ConfidenceScore" ExtendedLinks ProductComponentName 'ProductName' "ProviderName" "ИсправлениеSteps" "Методы" |
| ценность | Имя столбца, используемое для переопределения этого свойства | струна |
Сопоставление сущностей
| Имя | Описание | Ценность |
|---|---|---|
| тип сущности | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| fieldMappings | массив сопоставлений полей для заданного сопоставления сущностей | FieldMapping[] |
EventGroupingSettings (ГруппировкаEvent)
| Имя | Описание | Ценность |
|---|---|---|
| aggregationKind | Типы агрегирования событий с группировкой | "AlertPerResult" «СинглАлерт» |
Картографирование полей
| Имя | Описание | Ценность |
|---|---|---|
| Имя столбца | имя столбца, сопоставленного с идентификатором | струна |
| идентификатор | идентификатор сущности версии 3 | струна |
FusionAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | Fusion (обязательно) |
| свойства | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
ГруппировкаКонфигурация
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (при выборе сопоставленияMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (при сопоставленииMethod выбран). Могут использоваться только ключи, определенные в текущем правиле генерации оповещений. | строка[] |
| groupByEntities | Список типов сущностей для группировки (при сопоставленииMethod выбран). Могут использоваться только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| ретроспективаДлительность | Ограничить группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601) | строка (обязательно) |
| matchingMethod | Метод группировки сопоставления. Если метод выбран по крайней мере один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть предоставлен и не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
| повторное открытиеClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ИнцидентConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| createIncident | Создание инцидентов из оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Задайте способ группировки оповещений, активированных этим правилом аналитики, в инциденты | groupingConfiguration |
Правило MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| свойства | Свойства правила MicrosoftSecurityIncidentCreation | Свойства правила MicrosoftSecurityIncidentCreationAlert |
Свойства правила MicrosoftSecurityIncidentCreationAlert
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| displayNamesExcludeFilter | отображаемые имена оповещений, в которых случаи не будут созданы | строка[] |
| displayNamesFilter | отображаемые имена оповещений, в которых будут созданы случаи | строка[] |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| продуктФильтр | Имя продукта оповещений, для которого будут созданы случаи | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" Центр безопасности Azure для Интернета вещей Центр безопасности Azure Microsoft Cloud App Security (обязательно) |
| серьезностьFilter | серьезность оповещений, в которой будут созданы случаи | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
ScheduledAlertRule (Правило ScheduledAlertRule)
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | "Scheduled" (обязательный) |
| свойства | Свойства правила генерации оповещений | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Имя | Описание | Ценность |
|---|
ScheduledAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertПодробнееПереопределить | Параметры переопределения сведений об оповещении | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | ScheduledAlertRuleCommonPropertiesCustomDetails |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings (ГруппировкаEvent) |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | Конфигурация инцидента |
| запрос | Запрос, создающий оповещения для этого правила. | струна |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | струна |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | струна |
| суровость | Серьезность оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) ожидается после последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| подавлениеEnabled | Определяет, включена ли подавление этого правила генерации оповещений или отключена. | bool (обязательно) |
| тактика | Тактика правила генерации оповещений | Массив строк, содержащий любой из: Коллекция CommandAndControl CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Эксфильтрация" "Влияние" 'ImpairProcessControl' "InhibitResponseFunction" "InitialAccess" "Боковое перемещение" "Сохраняемость" «Предатака» "PrivilegeEscalation" "Разведывательная" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | строка[] |
| Версия шаблона | Версия шаблона правила генерации оповещений, используемая для создания этого правила , в формате <a.b.c>, где все номера, например 0 <1.0.2> | струна |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" «Больше, чем» "LessThan" NotEqual |
| триггерный порог | Пороговое значение активирует это правило генерации оповещений. | инт |
Определение ресурса шаблона ARM
Тип ресурса alertRules можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий код JSON в шаблон.
{
"etag": "string",
"name": "string",
"kind": "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Объекты Microsoft.SecurityInsights/alertRules
Задайте свойство типа, чтобы указать тип объекта.
Для Fusionиспользуйте:
{
"kind": "Fusion",
"properties": {
"alertRuleTemplateName": "string",
"enabled": "bool"
}
}
Для MicrosoftSecurityIncidentCreationиспользуйте следующее:
{
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"alertRuleTemplateName": "string",
"description": "string",
"displayName": "string",
"displayNamesExcludeFilter": [ "string" ],
"displayNamesFilter": [ "string" ],
"enabled": "bool",
"productFilter": "string",
"severitiesFilter": [ "string" ]
}
}
Для запланированныхиспользуйте:
{
"kind": "Scheduled",
"properties": {
"alertDetailsOverride": {
"alertDescriptionFormat": "string",
"alertDisplayNameFormat": "string",
"alertDynamicProperties": [
{
"alertProperty": "string",
"value": "string"
}
],
"alertSeverityColumnName": "string",
"alertTacticsColumnName": "string"
},
"alertRuleTemplateName": "string",
"customDetails": {
"{customized property}": "string"
},
"description": "string",
"displayName": "string",
"enabled": "bool",
"entityMappings": [
{
"entityType": "string",
"fieldMappings": [
{
"columnName": "string",
"identifier": "string"
}
]
}
],
"eventGroupingSettings": {
"aggregationKind": "string"
},
"incidentConfiguration": {
"createIncident": "bool",
"groupingConfiguration": {
"enabled": "bool",
"groupByAlertDetails": [ "string" ],
"groupByCustomDetails": [ "string" ],
"groupByEntities": [ "string" ],
"lookbackDuration": "string",
"matchingMethod": "string",
"reopenClosedIncident": "bool"
}
},
"query": "string",
"queryFrequency": "string",
"queryPeriod": "string",
"severity": "string",
"suppressionDuration": "string",
"suppressionEnabled": "bool",
"tactics": [ "string" ],
"techniques": [ "string" ],
"templateVersion": "string",
"triggerOperator": "string",
"triggerThreshold": "int"
}
}
Значения свойств
Microsoft.SecurityInsights/alertRules (Microsoft.SecurityInsights/alert)
| Имя | Описание | Ценность |
|---|---|---|
| apiVersion | Версия API | '2025-03-01' |
| ETag | Etag ресурса Azure | струна |
| добрый | Установите значение Fusion для типа FusionAlertRule. Установите значение MicrosoftSecurityIncidentCreation для типа MicrosoftSecurityIncidentCreationAlertRule. Установите значение Scheduled для типа ScheduledAlertRule. | «Фьюжн» "MicrosoftSecurityIncidentCreation" "Scheduled" (обязательный) |
| имя | Имя ресурса | строка (обязательно) |
| тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules" |
AlertDetailsOverride
| Имя | Описание | Ценность |
|---|---|---|
| alertDescriptionFormat | Формат, содержащий имена столбцов, чтобы переопределить описание оповещения | струна |
| alertDisplayNameFormat | Формат, содержащий имена столбцов, чтобы переопределить имя оповещения | струна |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | Имя столбца для получения серьезности оповещений | струна |
| alertTacticsColumnName | Имя столбца для принятия тактики оповещений из | струна |
AlertPropertyMapping
| Имя | Описание | Ценность |
|---|---|---|
| alertProperty | Свойство оповещения версии 3 | AlertLink "ConfidenceLevel" "ConfidenceScore" ExtendedLinks ProductComponentName 'ProductName' "ProviderName" "ИсправлениеSteps" "Методы" |
| ценность | Имя столбца, используемое для переопределения этого свойства | струна |
Сопоставление сущностей
| Имя | Описание | Ценность |
|---|---|---|
| тип сущности | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| fieldMappings | массив сопоставлений полей для заданного сопоставления сущностей | FieldMapping[] |
EventGroupingSettings (ГруппировкаEvent)
| Имя | Описание | Ценность |
|---|---|---|
| aggregationKind | Типы агрегирования событий с группировкой | "AlertPerResult" «СинглАлерт» |
Картографирование полей
| Имя | Описание | Ценность |
|---|---|---|
| Имя столбца | имя столбца, сопоставленного с идентификатором | струна |
| идентификатор | идентификатор сущности версии 3 | струна |
FusionAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | Fusion (обязательно) |
| свойства | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
ГруппировкаКонфигурация
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (при выборе сопоставленияMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (при сопоставленииMethod выбран). Могут использоваться только ключи, определенные в текущем правиле генерации оповещений. | строка[] |
| groupByEntities | Список типов сущностей для группировки (при сопоставленииMethod выбран). Могут использоваться только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| ретроспективаДлительность | Ограничить группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601) | строка (обязательно) |
| matchingMethod | Метод группировки сопоставления. Если метод выбран по крайней мере один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть предоставлен и не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
| повторное открытиеClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ИнцидентConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| createIncident | Создание инцидентов из оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Задайте способ группировки оповещений, активированных этим правилом аналитики, в инциденты | groupingConfiguration |
Правило MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| свойства | Свойства правила MicrosoftSecurityIncidentCreation | Свойства правила MicrosoftSecurityIncidentCreationAlert |
Свойства правила MicrosoftSecurityIncidentCreationAlert
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| displayNamesExcludeFilter | отображаемые имена оповещений, в которых случаи не будут созданы | строка[] |
| displayNamesFilter | отображаемые имена оповещений, в которых будут созданы случаи | строка[] |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| продуктФильтр | Имя продукта оповещений, для которого будут созданы случаи | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" Центр безопасности Azure для Интернета вещей Центр безопасности Azure Microsoft Cloud App Security (обязательно) |
| серьезностьFilter | серьезность оповещений, в которой будут созданы случаи | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
ScheduledAlertRule (Правило ScheduledAlertRule)
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | "Scheduled" (обязательный) |
| свойства | Свойства правила генерации оповещений | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Имя | Описание | Ценность |
|---|
ScheduledAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertПодробнееПереопределить | Параметры переопределения сведений об оповещении | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | ScheduledAlertRuleCommonPropertiesCustomDetails |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings (ГруппировкаEvent) |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | Конфигурация инцидента |
| запрос | Запрос, создающий оповещения для этого правила. | струна |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | струна |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | струна |
| суровость | Серьезность оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) ожидается после последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| подавлениеEnabled | Определяет, включена ли подавление этого правила генерации оповещений или отключена. | bool (обязательно) |
| тактика | Тактика правила генерации оповещений | Массив строк, содержащий любой из: Коллекция CommandAndControl CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Эксфильтрация" "Влияние" 'ImpairProcessControl' "InhibitResponseFunction" "InitialAccess" "Боковое перемещение" "Сохраняемость" «Предатака» "PrivilegeEscalation" "Разведывательная" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | строка[] |
| Версия шаблона | Версия шаблона правила генерации оповещений, используемая для создания этого правила , в формате <a.b.c>, где все номера, например 0 <1.0.2> | струна |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" «Больше, чем» "LessThan" NotEqual |
| триггерный порог | Пороговое значение активирует это правило генерации оповещений. | инт |
Примеры использования
Шаблоны быстрого запуска Azure
Следующие шаблоны быстрого запуска Azure развернуть этот тип ресурса.
| Шаблон | Описание |
|---|---|
|
создает новое правило microsoft Sentinel Scheduled Analytics развертывание  |
В этом примере показано, как создать новое правило запланированной аналитики в Microsoft Sentinel |
Определение ресурса Terraform (поставщик AzAPI)
Тип ресурса alertRules можно развернуть с помощью операций, предназначенных для следующих операций:
Список измененных свойств в каждой версии API см. в журнала изменений.
Формат ресурса
Чтобы создать ресурс Microsoft.SecurityInsights/alertRules, добавьте следующий объект Terraform в шаблон.
resource "azapi_resource" "symbolicname" {
etag = "string"
name = "string"
kind = "string"
// For remaining properties, see Microsoft.SecurityInsights/alertRules objects
}
Объекты Microsoft.SecurityInsights/alertRules
Задайте свойство типа, чтобы указать тип объекта.
Для Fusionиспользуйте:
{
kind = "Fusion"
properties = {
alertRuleTemplateName = "string"
enabled = bool
}
}
Для MicrosoftSecurityIncidentCreationиспользуйте следующее:
{
kind = "MicrosoftSecurityIncidentCreation"
properties = {
alertRuleTemplateName = "string"
description = "string"
displayName = "string"
displayNamesExcludeFilter = [
"string"
]
displayNamesFilter = [
"string"
]
enabled = bool
productFilter = "string"
severitiesFilter = [
"string"
]
}
}
Для запланированныхиспользуйте:
{
kind = "Scheduled"
properties = {
alertDetailsOverride = {
alertDescriptionFormat = "string"
alertDisplayNameFormat = "string"
alertDynamicProperties = [
{
alertProperty = "string"
value = "string"
}
]
alertSeverityColumnName = "string"
alertTacticsColumnName = "string"
}
alertRuleTemplateName = "string"
customDetails = {
{customized property} = "string"
}
description = "string"
displayName = "string"
enabled = bool
entityMappings = [
{
entityType = "string"
fieldMappings = [
{
columnName = "string"
identifier = "string"
}
]
}
]
eventGroupingSettings = {
aggregationKind = "string"
}
incidentConfiguration = {
createIncident = bool
groupingConfiguration = {
enabled = bool
groupByAlertDetails = [
"string"
]
groupByCustomDetails = [
"string"
]
groupByEntities = [
"string"
]
lookbackDuration = "string"
matchingMethod = "string"
reopenClosedIncident = bool
}
}
query = "string"
queryFrequency = "string"
queryPeriod = "string"
severity = "string"
suppressionDuration = "string"
suppressionEnabled = bool
tactics = [
"string"
]
techniques = [
"string"
]
templateVersion = "string"
triggerOperator = "string"
triggerThreshold = int
}
}
Значения свойств
Microsoft.SecurityInsights/alertRules (Microsoft.SecurityInsights/alert)
| Имя | Описание | Ценность |
|---|---|---|
| ETag | Etag ресурса Azure | струна |
| добрый | Установите значение Fusion для типа FusionAlertRule. Установите значение MicrosoftSecurityIncidentCreation для типа MicrosoftSecurityIncidentCreationAlertRule. Установите значение Scheduled для типа ScheduledAlertRule. | «Фьюжн» "MicrosoftSecurityIncidentCreation" "Scheduled" (обязательный) |
| имя | Имя ресурса | строка (обязательно) |
| идентификатор_родителя | Идентификатор ресурса для применения этого ресурса расширения. | строка (обязательно) |
| тип | Тип ресурса | "Microsoft.SecurityInsights/alertRules@2025-03-01" |
AlertDetailsOverride
| Имя | Описание | Ценность |
|---|---|---|
| alertDescriptionFormat | Формат, содержащий имена столбцов, чтобы переопределить описание оповещения | струна |
| alertDisplayNameFormat | Формат, содержащий имена столбцов, чтобы переопределить имя оповещения | струна |
| alertDynamicProperties | Список дополнительных динамических свойств для переопределения | AlertPropertyMapping[] |
| alertSeverityColumnName | Имя столбца для получения серьезности оповещений | струна |
| alertTacticsColumnName | Имя столбца для принятия тактики оповещений из | струна |
AlertPropertyMapping
| Имя | Описание | Ценность |
|---|---|---|
| alertProperty | Свойство оповещения версии 3 | AlertLink "ConfidenceLevel" "ConfidenceScore" ExtendedLinks ProductComponentName 'ProductName' "ProviderName" "ИсправлениеSteps" "Методы" |
| ценность | Имя столбца, используемое для переопределения этого свойства | струна |
Сопоставление сущностей
| Имя | Описание | Ценность |
|---|---|---|
| тип сущности | Тип сопоставленной сущности версии 3 | "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| fieldMappings | массив сопоставлений полей для заданного сопоставления сущностей | FieldMapping[] |
EventGroupingSettings (ГруппировкаEvent)
| Имя | Описание | Ценность |
|---|---|---|
| aggregationKind | Типы агрегирования событий с группировкой | "AlertPerResult" «СинглАлерт» |
Картографирование полей
| Имя | Описание | Ценность |
|---|---|---|
| Имя столбца | имя столбца, сопоставленного с идентификатором | струна |
| идентификатор | идентификатор сущности версии 3 | струна |
FusionAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | Fusion (обязательно) |
| свойства | Свойства правила генерации оповещений Fusion | FusionAlertRuleProperties |
FusionAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
ГруппировкаКонфигурация
| Имя | Описание | Ценность |
|---|---|---|
| Включен | Группирование включено | bool (обязательно) |
| groupByAlertDetails | Список сведений об оповещении для группировки (при выборе сопоставленияMethod) | Массив строк, содержащий любой из: "DisplayName" "Серьезность" |
| groupByCustomDetails | Список пользовательских ключей сведений для группировки (при сопоставленииMethod выбран). Могут использоваться только ключи, определенные в текущем правиле генерации оповещений. | строка[] |
| groupByEntities | Список типов сущностей для группировки (при сопоставленииMethod выбран). Могут использоваться только сущности, определенные в текущем правиле генерации оповещений. | Массив строк, содержащий любой из: "Учетная запись" AzureResource CloudApplication "DNS" "Файл" FileHash "Узел" IP-адрес "Почтовый ящик" MailCluster MailMessage "Вредоносные программы" "Процесс" RegistryKey RegistryValue "SecurityGroup" "SubmissionMail" URL-адрес |
| ретроспективаДлительность | Ограничить группу оповещениями, созданными в течение длительности обратного просмотра (в формате длительности ISO 8601) | строка (обязательно) |
| matchingMethod | Метод группировки сопоставления. Если метод выбран по крайней мере один из groupByEntities, groupByAlertDetails, groupByCustomDetails должен быть предоставлен и не пуст. | "AllEntities" "AnyAlert" "Выбрано" (обязательно) |
| повторное открытиеClosedIncident | Повторное открытие закрытых инцидентов сопоставления | bool (обязательно) |
ИнцидентConfiguration
| Имя | Описание | Ценность |
|---|---|---|
| createIncident | Создание инцидентов из оповещений, активированных этим правилом аналитики | bool (обязательно) |
| groupingConfiguration | Задайте способ группировки оповещений, активированных этим правилом аналитики, в инциденты | groupingConfiguration |
Правило MicrosoftSecurityIncidentCreationAlertRule
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | MicrosoftSecurityIncidentCreation (обязательно) |
| свойства | Свойства правила MicrosoftSecurityIncidentCreation | Свойства правила MicrosoftSecurityIncidentCreationAlert |
Свойства правила MicrosoftSecurityIncidentCreationAlert
| Имя | Описание | Ценность |
|---|---|---|
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| displayNamesExcludeFilter | отображаемые имена оповещений, в которых случаи не будут созданы | строка[] |
| displayNamesFilter | отображаемые имена оповещений, в которых будут созданы случаи | строка[] |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| продуктФильтр | Имя продукта оповещений, для которого будут созданы случаи | "Защита идентификации Azure Active Directory" "Расширенная защита от угроз Azure" Центр безопасности Azure для Интернета вещей Центр безопасности Azure Microsoft Cloud App Security (обязательно) |
| серьезностьFilter | серьезность оповещений, в которой будут созданы случаи | Массив строк, содержащий любой из: "Высокий" "Информационный" "Низкий" "Средний" |
ScheduledAlertRule (Правило ScheduledAlertRule)
| Имя | Описание | Ценность |
|---|---|---|
| добрый | Тип правила генерации оповещений | "Scheduled" (обязательный) |
| свойства | Свойства правила генерации оповещений | ScheduledAlertRuleProperties |
ScheduledAlertRuleCommonPropertiesCustomDetails
| Имя | Описание | Ценность |
|---|
ScheduledAlertRuleProperties
| Имя | Описание | Ценность |
|---|---|---|
| alertПодробнееПереопределить | Параметры переопределения сведений об оповещении | AlertDetailsOverride |
| alertRuleTemplateName | Имя шаблона правила генерации оповещений, используемого для создания этого правила. | струна |
| customDetails | Словарь строковых пар "ключ-значение" столбцов, которые должны быть присоединены к оповещению | ScheduledAlertRuleCommonPropertiesCustomDetails |
| описание | Описание правила генерации оповещений. | струна |
| отображаемое имя | Отображаемое имя оповещений, созданных этим правилом генерации оповещений. | строка (обязательно) |
| Включен | Определяет, включено ли или отключено это правило генерации оповещений. | bool (обязательно) |
| entityMappings | Массив сопоставлений сущностей правила генерации оповещений | EntityMapping[] |
| eventGroupingSettings | Параметры группировки событий. | EventGroupingSettings (ГруппировкаEvent) |
| incidentConfiguration | Параметры инцидентов, созданных из оповещений, активированных этим правилом аналитики | Конфигурация инцидента |
| запрос | Запрос, создающий оповещения для этого правила. | струна |
| queryFrequency | Частота (в формате длительности ISO 8601) для выполнения этого правила генерации оповещений. | струна |
| queryPeriod | Период (в формате длительности ISO 8601), на который смотрит это правило генерации оповещений. | струна |
| суровость | Серьезность оповещений, созданных этим правилом генерации оповещений. | "Высокий" "Информационный" "Низкий" "Средний" |
| подавлениеduration | Подавление (в формате длительности ISO 8601) ожидается после последнего запуска этого правила генерации оповещений. | строка (обязательно) |
| подавлениеEnabled | Определяет, включена ли подавление этого правила генерации оповещений или отключена. | bool (обязательно) |
| тактика | Тактика правила генерации оповещений | Массив строк, содержащий любой из: Коллекция CommandAndControl CredentialAccess "DefenseEvasion" "Обнаружение" "Выполнение" "Эксфильтрация" "Влияние" 'ImpairProcessControl' "InhibitResponseFunction" "InitialAccess" "Боковое перемещение" "Сохраняемость" «Предатака» "PrivilegeEscalation" "Разведывательная" ResourceDevelopment |
| Методы | Методы правила генерации оповещений | строка[] |
| Версия шаблона | Версия шаблона правила генерации оповещений, используемая для создания этого правила , в формате <a.b.c>, где все номера, например 0 <1.0.2> | струна |
| triggerOperator | Операция с пороговым значением, которое активирует правило генерации оповещений. | "Равно" «Больше, чем» "LessThan" NotEqual |
| триггерный порог | Пороговое значение активирует это правило генерации оповещений. | инт |
Примеры использования
Примеры Terraform
Простой пример развертывания правила оповещения Sentinel.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "westeurope"
}
resource "azapi_resource" "resourceGroup" {
type = "Microsoft.Resources/resourceGroups@2020-06-01"
name = var.resource_name
location = var.location
}
resource "azapi_resource" "workspace" {
type = "Microsoft.OperationalInsights/workspaces@2022-10-01"
parent_id = azapi_resource.resourceGroup.id
name = var.resource_name
location = var.location
body = {
properties = {
features = {
disableLocalAuth = false
enableLogAccessUsingOnlyResourcePermissions = true
}
publicNetworkAccessForIngestion = "Enabled"
publicNetworkAccessForQuery = "Enabled"
retentionInDays = 30
sku = {
name = "PerGB2018"
}
workspaceCapping = {
dailyQuotaGb = -1
}
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "onboardingState" {
type = "Microsoft.SecurityInsights/onboardingStates@2023-06-01-preview"
parent_id = azapi_resource.workspace.id
name = "default"
body = {
properties = {
customerManagedKey = false
}
}
}
resource "azapi_resource" "alertRule" {
type = "Microsoft.SecurityInsights/alertRules@2022-10-01-preview"
parent_id = azapi_resource.workspace.id
name = var.resource_name
body = {
kind = "NRT"
properties = {
description = ""
displayName = "Some Rule"
enabled = true
query = "AzureActivity |\n where OperationName == \"Create or Update Virtual Machine\" or OperationName ==\"Create Deployment\" |\n where ActivityStatus == \"Succeeded\" |\n make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller\n"
severity = "High"
suppressionDuration = "PT5H"
suppressionEnabled = false
tactics = [
]
techniques = [
]
}
}
schema_validation_enabled = false
response_export_values = ["*"]
depends_on = [azapi_resource.onboardingState]
}