Automation Rules - Get
Obtiene la regla de automatización.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2024-01-01-previewParámetros de identificador URI
| Nombre | En | Requerido | Tipo | Description |
|---|---|---|---|---|
|
automation
|
path | True |
string |
Id. de regla de automatización |
|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre no distingue mayúsculas de minúsculas. |
|
subscription
|
path | True |
string |
Identificador de la suscripción de destino. |
|
workspace
|
path | True |
string |
Nombre del área de trabajo. Patrón de Regex: |
|
api-version
|
query | True |
string |
Versión de la API que se va a usar para esta operación. |
Respuestas
| Nombre | Tipo | Description |
|---|---|---|
| 200 OK |
De acuerdo |
|
| Other Status Codes |
Respuesta de error que describe por qué se produjo un error en la operación. |
Seguridad
azure_auth
Flujo de OAuth2 de Azure Active Directory
Tipo:
oauth2
Flujo:
implicit
Dirección URL de autorización:
https://login.microsoftonline.com/common/oauth2/authorize
Ámbitos
| Nombre | Description |
|---|---|
| user_impersonation | suplantar la cuenta de usuario |
Ejemplos
AutomationRules_Get
Solicitud de ejemplo
Respuesta de muestra
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/automationRules",
"properties": {
"displayName": "Suspicious user sign-in events",
"order": 1,
"triggeringLogic": {
"isEnabled": true,
"triggersOn": "Incidents",
"triggersWhen": "Created",
"conditions": [
{
"conditionType": "Property",
"conditionProperties": {
"propertyName": "IncidentRelatedAnalyticRuleIds",
"operator": "Contains",
"propertyValues": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
]
}
}
]
},
"actions": [
{
"order": 1,
"actionType": "AddIncidentTask",
"actionConfiguration": {
"title": "Reset user passwords",
"description": "Reset passwords for compromised users."
}
}
],
"lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
"createdTimeUtc": "2019-01-01T13:00:00Z",
"lastModifiedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
},
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
}
}
}Definiciones
| Nombre | Description |
|---|---|
|
Action |
Tipo de la acción de regla de automatización. |
|
Add |
|
|
Automation |
|
|
Automation |
Describe una acción de regla de automatización para agregar una tarea a un incidente. |
|
Automation |
|
|
Automation |
|
|
Automation |
Describe una acción de regla de automatización para modificar las propiedades de un objeto. |
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
|
|
Automation |
Propiedad que se va a evaluar en una condición de propiedad de regla de automatización. |
|
Automation |
|
|
Automation |
|
|
Automation |
Describe una acción de regla de automatización para ejecutar un cuaderno de estrategias |
|
Automation |
Describe la lógica de desencadenamiento de reglas de automatización. |
|
Boolean |
Describe una condición de regla de automatización que aplica un operador booleano (por ejemplo, AND o OR) a las condiciones. |
|
Client |
Información sobre el cliente (usuario o aplicación) que realizó alguna acción |
|
Cloud |
Estructura de respuesta de error. |
|
Cloud |
Detalles del error. |
|
Condition |
|
|
created |
Tipo de identidad que creó el recurso. |
|
Incident |
Motivo por el que se cerró el incidente |
|
Incident |
Motivo de clasificación con el que se cerró el incidente |
|
Incident |
Representa una etiqueta de incidente |
|
Incident |
Tipo de la etiqueta |
|
Incident |
A la información sobre el usuario a la que se asigna un incidente |
|
Incident |
|
|
Incident |
Gravedad del incidente |
|
Incident |
Estado del incidente |
|
Owner |
Tipo del propietario al que se asigna el incidente. |
|
Playbook |
|
|
Property |
Describe una condición de regla de automatización que evalúa el cambio de valor de una propiedad de matriz. |
|
Property |
Describe una condición de regla de automatización que evalúa el valor de una propiedad de matriz. |
|
Property |
Describe una condición de regla de automatización que evalúa el cambio de valor de una propiedad. |
|
Property |
Describe una condición de regla de automatización que evalúa el valor de una propiedad. |
|
system |
Metadatos relativos a la creación y última modificación del recurso. |
|
triggers |
|
|
triggers |
ActionType
Tipo de la acción de regla de automatización.
| Valor | Description |
|---|---|
| AddIncidentTask |
Agregar una tarea a un objeto de incidente |
| ModifyProperties |
Modificar las propiedades de un objeto |
| RunPlaybook |
Ejecución de un cuaderno de estrategias en un objeto |
AddIncidentTaskActionProperties
| Nombre | Tipo | Description |
|---|---|---|
| description |
string |
Descripción de la tarea. |
| title |
string |
Título de la tarea. |
AutomationRule
| Nombre | Tipo | Description |
|---|---|---|
| etag |
string |
Etag del recurso de Azure |
| id |
string |
Identificador de recurso completo para el recurso. Por ejemplo, "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
Nombre del recurso |
| properties.actions | AutomationRuleAction[]: |
Las acciones que se van a ejecutar cuando se desencadena la regla de automatización. |
| properties.createdBy |
Información sobre el cliente (usuario o aplicación) que realizó alguna acción |
|
| properties.createdTimeUtc |
string |
Hora en que se creó la regla de automatización. |
| properties.displayName |
string |
Nombre para mostrar de la regla de automatización. |
| properties.lastModifiedBy |
Información sobre el cliente (usuario o aplicación) que realizó alguna acción |
|
| properties.lastModifiedTimeUtc |
string |
La última vez que se actualizó la regla de automatización. |
| properties.order |
integer |
Orden de ejecución de la regla de automatización. |
| properties.triggeringLogic |
Describe la lógica de desencadenamiento de reglas de automatización. |
|
| systemData |
Metadatos de Azure Resource Manager que contienen información createdBy y modifiedBy. |
|
| type |
string |
Tipo del recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
AutomationRuleAddIncidentTaskAction
Describe una acción de regla de automatización para agregar una tarea a un incidente.
| Nombre | Tipo | Description |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Add |
Tipo de la acción de regla de automatización. |
| order |
integer |
AutomationRuleBooleanCondition
| Nombre | Tipo | Description |
|---|---|---|
| innerConditions | AutomationRuleCondition[]: |
Describe una condición de regla de automatización. |
| operator |
AutomationRuleBooleanConditionSupportedOperator
| Valor | Description |
|---|---|
| And |
Se evalúa como true si todas las condiciones del elemento se evalúan como true. |
| Or |
Se evalúa como true si al menos una de las condiciones del elemento se evalúa como true. |
AutomationRuleModifyPropertiesAction
Describe una acción de regla de automatización para modificar las propiedades de un objeto.
| Nombre | Tipo | Description |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Modify |
Tipo de la acción de regla de automatización. |
| order |
integer |
AutomationRulePropertyArrayChangedConditionSupportedArrayType
| Valor | Description |
|---|---|
| Alerts |
Evaluación de la condición en las alertas |
| Comments |
Evaluación de la condición en los comentarios |
| Labels |
Evaluación de la condición en las etiquetas |
| Tactics |
Evaluación de la condición en las tácticas |
AutomationRulePropertyArrayChangedConditionSupportedChangeType
| Valor | Description |
|---|---|
| Added |
Evaluar la condición en los elementos agregados a la matriz |
AutomationRulePropertyArrayChangedValuesCondition
| Nombre | Tipo | Description |
|---|---|---|
| arrayType |
Automation |
|
| changeType |
Automation |
AutomationRulePropertyArrayConditionSupportedArrayConditionType
| Valor | Description |
|---|---|
| AnyItem |
Evaluar la condición como true si algún elemento lo cumple |
AutomationRulePropertyArrayConditionSupportedArrayType
| Valor | Description |
|---|---|
| CustomDetailValues |
Evaluar la condición en los valores de un detalle personalizado |
| CustomDetails |
Evaluación de la condición en las claves de detalles personalizadas |
AutomationRulePropertyArrayValuesCondition
| Nombre | Tipo | Description |
|---|---|---|
| arrayConditionType |
Automation |
|
| arrayType | ||
| itemConditions | AutomationRuleCondition[]: |
Describe una condición de regla de automatización. |
AutomationRulePropertyChangedConditionSupportedChangedType
| Valor | Description |
|---|---|
| ChangedFrom |
Evaluar la condición en el valor anterior de la propiedad |
| ChangedTo |
Evaluar la condición en el valor actualizado de la propiedad |
AutomationRulePropertyChangedConditionSupportedPropertyType
| Valor | Description |
|---|---|
| IncidentOwner |
Evaluación de la condición en el propietario del incidente |
| IncidentSeverity |
Evaluación de la condición en la gravedad del incidente |
| IncidentStatus |
Evaluación de la condición en el estado del incidente |
AutomationRulePropertyConditionSupportedOperator
| Valor | Description |
|---|---|
| Contains |
Evalúa si la propiedad contiene al menos uno de los valores de condición. |
| EndsWith |
Evalúa si la propiedad termina con cualquiera de los valores de condición |
| Equals |
Evalúa si la propiedad es igual a al menos uno de los valores de condición. |
| NotContains |
Evalúa si la propiedad no contiene ninguno de los valores de condición |
| NotEndsWith |
Evalúa si la propiedad no termina con ninguno de los valores de condición |
| NotEquals |
Evalúa si la propiedad no es igual a ninguno de los valores de condición |
| NotStartsWith |
Evalúa si la propiedad no comienza con ninguno de los valores de condición |
| StartsWith |
Evalúa si la propiedad comienza con cualquiera de los valores de condición. |
AutomationRulePropertyConditionSupportedProperty
Propiedad que se va a evaluar en una condición de propiedad de regla de automatización.
| Valor | Description |
|---|---|
| AccountAadTenantId |
Identificador de inquilino de Azure Active Directory de la cuenta |
| AccountAadUserId |
Identificador de usuario de La cuenta de Azure Active Directory |
| AccountNTDomain |
Nombre de dominio netBIOS de la cuenta |
| AccountName |
El nombre de la cuenta |
| AccountObjectGuid |
Identificador único de la cuenta |
| AccountPUID |
Identificador de usuario de Azure Active Directory Passport de la cuenta |
| AccountSid |
Identificador de seguridad de la cuenta |
| AccountUPNSuffix |
Sufijo de nombre principal de usuario de cuenta |
| AlertAnalyticRuleIds |
Identificadores de regla analítica de la alerta |
| AlertProductNames |
Nombre del producto de la alerta |
| AzureResourceResourceId |
Identificador de recurso de Azure |
| AzureResourceSubscriptionId |
Identificador de suscripción de recursos de Azure |
| CloudApplicationAppId |
Identificador de la aplicación en la nube |
| CloudApplicationAppName |
Nombre de la aplicación en la nube |
| DNSDomainName |
El nombre de dominio del registro dns |
| FileDirectory |
Ruta de acceso completa del directorio de archivos |
| FileHashValue |
Valor hash de archivo |
| FileName |
Nombre de archivo sin ruta de acceso |
| HostAzureID |
Identificador de recurso de Azure del host |
| HostNTDomain |
Dominio NT del host |
| HostName |
El nombre de host sin dominio |
| HostNetBiosName |
Nombre netBIOS del host |
| HostOSVersion |
Sistema operativo host |
| IPAddress |
La dirección IP |
| IncidentCustomDetailsKey |
Clave de detalles personalizada del incidente |
| IncidentCustomDetailsValue |
Valor de detalle personalizado del incidente |
| IncidentDescription |
Descripción del incidente |
| IncidentLabel |
Etiquetas del incidente |
| IncidentProviderName |
Nombre del proveedor del incidente |
| IncidentRelatedAnalyticRuleIds |
Los identificadores de regla analítica relacionados del incidente |
| IncidentSeverity |
Gravedad del incidente |
| IncidentStatus |
Estado del incidente |
| IncidentTactics |
Tácticas del incidente |
| IncidentTitle |
Título del incidente |
| IncidentUpdatedBySource |
Origen de actualización del incidente |
| IoTDeviceId |
"El identificador del dispositivo IoT |
| IoTDeviceModel |
El modelo de dispositivo IoT |
| IoTDeviceName |
El nombre del dispositivo IoT |
| IoTDeviceOperatingSystem |
El sistema operativo del dispositivo IoT |
| IoTDeviceType |
El tipo de dispositivo IoT |
| IoTDeviceVendor |
El proveedor de dispositivos IoT |
| MailMessageDeliveryAction |
Acción de entrega de mensajes de correo |
| MailMessageDeliveryLocation |
Ubicación de entrega de mensajes de correo |
| MailMessageP1Sender |
Remitente P1 del mensaje de correo |
| MailMessageP2Sender |
Remitente P2 del mensaje de correo |
| MailMessageRecipient |
Destinatario del mensaje de correo |
| MailMessageSenderIP |
Dirección IP del remitente del mensaje de correo |
| MailMessageSubject |
Asunto del mensaje de correo |
| MailboxDisplayName |
Nombre para mostrar del buzón |
| MailboxPrimaryAddress |
Dirección principal del buzón |
| MailboxUPN |
El nombre principal de usuario del buzón |
| MalwareCategory |
Categoría de malware |
| MalwareName |
El nombre del malware |
| ProcessCommandLine |
Línea de comandos de ejecución de procesos |
| ProcessId |
Identificador del proceso |
| RegistryKey |
Ruta de acceso de la clave del Registro |
| RegistryValueData |
Valor de clave del Registro en representación con formato de cadena |
| Url |
Dirección URL |
AutomationRulePropertyValuesChangedCondition
| Nombre | Tipo | Description |
|---|---|---|
| changeType | ||
| operator | ||
| propertyName | ||
| propertyValues |
string[] |
AutomationRulePropertyValuesCondition
| Nombre | Tipo | Description |
|---|---|---|
| operator | ||
| propertyName |
Propiedad que se va a evaluar en una condición de propiedad de regla de automatización. |
|
| propertyValues |
string[] |
AutomationRuleRunPlaybookAction
Describe una acción de regla de automatización para ejecutar un cuaderno de estrategias
| Nombre | Tipo | Description |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Run |
Tipo de la acción de regla de automatización. |
| order |
integer |
AutomationRuleTriggeringLogic
Describe la lógica de desencadenamiento de reglas de automatización.
| Nombre | Tipo | Description |
|---|---|---|
| conditions | AutomationRuleCondition[]: |
Condiciones que se van a evaluar para determinar si la regla de automatización se debe desencadenar en un objeto determinado. |
| expirationTimeUtc |
string |
Determina cuándo la regla de automatización debe expirar automáticamente y deshabilitarse. |
| isEnabled |
boolean |
Determina si la regla de automatización está habilitada o deshabilitada. |
| triggersOn | ||
| triggersWhen |
BooleanConditionProperties
Describe una condición de regla de automatización que aplica un operador booleano (por ejemplo, AND o OR) a las condiciones.
| Nombre | Tipo | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Boolean |
ClientInfo
Información sobre el cliente (usuario o aplicación) que realizó alguna acción
| Nombre | Tipo | Description |
|---|---|---|
|
string |
El correo electrónico del cliente. |
|
| name |
string |
Nombre del cliente. |
| objectId |
string |
Identificador de objeto del cliente. |
| userPrincipalName |
string |
Nombre principal de usuario del cliente. |
CloudError
Estructura de respuesta de error.
| Nombre | Tipo | Description |
|---|---|---|
| error |
Datos de error |
CloudErrorBody
Detalles del error.
| Nombre | Tipo | Description |
|---|---|---|
| code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
| message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
ConditionType
| Valor | Description |
|---|---|
| Boolean |
Aplicar un operador booleano (por ejemplo, AND o OR) a condiciones |
| Property |
Evaluación de un valor de propiedad de objeto |
| PropertyArray |
Evaluación de un valor de propiedad de matriz de objetos |
| PropertyArrayChanged |
Evaluar un valor cambiado de propiedad de matriz de objetos |
| PropertyChanged |
Evaluar un valor cambiado de propiedad de objeto |
createdByType
Tipo de identidad que creó el recurso.
| Valor | Description |
|---|---|
| Application | |
| Key | |
| ManagedIdentity | |
| User |
IncidentClassification
Motivo por el que se cerró el incidente
| Valor | Description |
|---|---|
| BenignPositive |
El incidente fue positivo benigno |
| FalsePositive |
El incidente era falso positivo |
| TruePositive |
El incidente fue verdadero positivo |
| Undetermined |
La clasificación de incidentes no se ha determinado |
IncidentClassificationReason
Motivo de clasificación con el que se cerró el incidente
| Valor | Description |
|---|---|
| InaccurateData |
La razón de clasificación era datos inexactos |
| IncorrectAlertLogic |
El motivo de clasificación era una lógica de alerta incorrecta |
| SuspiciousActivity |
Motivo de clasificación fue actividad sospechosa |
| SuspiciousButExpected |
La razón de clasificación era sospechosa, pero se esperaba |
IncidentLabel
Representa una etiqueta de incidente
| Nombre | Tipo | Description |
|---|---|---|
| labelName |
string |
Nombre de la etiqueta |
| labelType |
Tipo de la etiqueta |
IncidentLabelType
Tipo de la etiqueta
| Valor | Description |
|---|---|
| AutoAssigned |
Etiqueta creada automáticamente por el sistema |
| User |
Etiquetar manualmente creada por un usuario |
IncidentOwnerInfo
A la información sobre el usuario a la que se asigna un incidente
| Nombre | Tipo | Description |
|---|---|---|
| assignedTo |
string |
Nombre del usuario al que se asigna el incidente. |
|
string |
Correo electrónico del usuario al que se asigna el incidente. |
|
| objectId |
string |
Identificador de objeto del usuario al que se asigna el incidente. |
| ownerType |
Tipo del propietario al que se asigna el incidente. |
|
| userPrincipalName |
string |
Nombre principal de usuario del usuario al que se asigna el incidente. |
IncidentPropertiesAction
| Nombre | Tipo | Description |
|---|---|---|
| classification |
Motivo por el que se cerró el incidente |
|
| classificationComment |
string |
Describe el motivo por el que se cerró el incidente. |
| classificationReason |
Motivo de clasificación con el que se cerró el incidente |
|
| labels |
Lista de etiquetas que se van a agregar al incidente. |
|
| owner |
A la información sobre el usuario a la que se asigna un incidente |
|
| severity |
Gravedad del incidente |
|
| status |
Estado del incidente |
IncidentSeverity
Gravedad del incidente
| Valor | Description |
|---|---|
| High |
Gravedad alta |
| Informational |
Gravedad informativa |
| Low |
Gravedad baja |
| Medium |
Gravedad media |
IncidentStatus
Estado del incidente
| Valor | Description |
|---|---|
| Active |
Un incidente activo que se está controlando |
| Closed |
Un incidente no activo |
| New |
Un incidente activo que no se está controlando actualmente |
OwnerType
Tipo del propietario al que se asigna el incidente.
| Valor | Description |
|---|---|
| Group |
El tipo de propietario del incidente es un grupo de AAD. |
| Unknown |
El tipo de propietario del incidente es desconocido |
| User |
El tipo de propietario del incidente es un usuario de AAD. |
PlaybookActionProperties
| Nombre | Tipo | Description |
|---|---|---|
| logicAppResourceId |
string |
Identificador de recurso del recurso del cuaderno de estrategias. |
| tenantId |
string |
Identificador de inquilino del recurso del cuaderno de estrategias. |
PropertyArrayChangedConditionProperties
Describe una condición de regla de automatización que evalúa el cambio de valor de una propiedad de matriz.
| Nombre | Tipo | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyArrayConditionProperties
Describe una condición de regla de automatización que evalúa el valor de una propiedad de matriz.
| Nombre | Tipo | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyChangedConditionProperties
Describe una condición de regla de automatización que evalúa el cambio de valor de una propiedad.
| Nombre | Tipo | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyConditionProperties
Describe una condición de regla de automatización que evalúa el valor de una propiedad.
| Nombre | Tipo | Description |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
systemData
Metadatos relativos a la creación y última modificación del recurso.
| Nombre | Tipo | Description |
|---|---|---|
| createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
| createdBy |
string |
Identidad que creó el recurso. |
| createdByType |
Tipo de identidad que creó el recurso. |
|
| lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
| lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
| lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |
triggersOn
| Valor | Description |
|---|---|
| Alerts |
Desencadenador en alertas |
| Incidents |
Desencadenador en incidentes |
triggersWhen
| Valor | Description |
|---|---|
| Created |
Desencadenador en objetos creados |
| Updated |
Desencadenador en objetos actualizados |