Compartilhar via

Automations - Update

  • Referência
Serviço:
Defender for Cloud
Versão da API:
2023-12-01-preview

Atualiza uma automação de segurança

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-preview

Parâmetros de URI

Nome Em Obrigatório Tipo Description
automationName
 path True

string

O nome da automação de segurança.
resourceGroupName
 path True

string

O nome do grupo de recursos na assinatura do usuário. O nome não diferencia maiúsculas de minúsculas.

Padrão Regex: ^[-\w\._\(\)]+$
subscriptionId
 path True

string

ID da assinatura do Azure

Padrão Regex: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

Versão da API para a operação

Corpo da solicitação

Nome Tipo Description
properties.actions AutomationAction[]:

Uma coleção das ações que são disparadas se todas as avaliações de regras configuradas, dentro de pelo menos um conjunto de regras, forem verdadeiras.
properties.description

string

A descrição da automação de segurança.
properties.isEnabled

boolean

Indica se a automação de segurança está habilitada.
properties.scopes

AutomationScope[]

Uma coleção de escopos nos quais a lógica de automações de segurança é aplicada. Os escopos com suporte são a própria assinatura ou um grupo de recursos nessa assinatura. A automação só será aplicada em escopos definidos.
properties.sources

AutomationSource[]

Uma coleção dos tipos de evento de origem que avaliam o conjunto de regras de automação de segurança.
tags

object

Uma lista de pares de valores de chave que descrevem o recurso.

Respostas

Nome Tipo Description
200 OK

Automation

OKEY
Other Status Codes

CloudError

Resposta de erro que descreve por que a operação falhou.

Segurança

azure_auth

Fluxo OAuth2 do Azure Active Directory

Tipo: oauth2
Flow: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Escopos

Nome Description
user_impersonation representar sua conta de usuário

Exemplos

Update a security automation

Solicitação de exemplo

PATCH https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview

{
  "tags": {
    "Example": "exampleTag"
  },
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments"
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp",
        "uri": "https://exampleTriggerUri1.com"
      }
    ]
  }
}

Resposta de exemplo

Código de status:
200 
{
  "id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
  "name": "exampleAutomation",
  "type": "Microsoft.Security/automations",
  "location": "Central US",
  "etag": "new etag value",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": []
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp"
      }
    ]
  }
}

Definições

Nome Description
Automation

O recurso de automação de segurança.
AutomationActionEventHub

O Hub de Eventos de destino para o qual os dados de evento serão exportados. Para saber mais sobre os recursos de exportação contínua do Microsoft Defender para Nuvem, visite https://aka.ms/ASCExportLearnMore
AutomationActionLogicApp

A ação do aplicativo lógico que deve ser disparada. Para saber mais sobre os recursos de Automação de Fluxo de Trabalho do Microsoft Defender para Nuvem, visite https://aka.ms/ASCWorkflowAutomationLearnMore
AutomationActionWorkspace

O Workspace do Log Analytics para o qual os dados de evento serão exportados. Os dados de alertas de segurança residirão na tabela 'SecurityAlert' e os dados de avaliações residirão na tabela 'SecurityRecommendation' (nas soluções 'Security'/'SecurityCenterFree'). Observe que, para exibir os dados no workspace, a solução gratuita/padrão do Log Analytics da Central de Segurança precisa ser habilitada nesse workspace. Para saber mais sobre os recursos de exportação contínua do Microsoft Defender para Nuvem, visite https://aka.ms/ASCExportLearnMore
AutomationRuleSet

Um conjunto de regras que avalia todas as suas regras após uma interceptação de evento. Somente quando todas as regras incluídas no conjunto de regras forem avaliadas como 'true', o evento disparará as ações definidas.
AutomationScope

Um único escopo de automação.
AutomationSource

Os tipos de evento de origem que avaliam o conjunto de regras de automação de segurança. Por exemplo: alertas de segurança e avaliações de segurança. Para saber mais sobre os esquemas de modelos de dados de eventos de segurança com suporte, visite https://aka.ms/ASCAutomationSchemas.
AutomationTriggeringRule

Uma regra que é avaliada após a interceptação de eventos. A regra é configurada comparando um valor específico do modelo de evento com um valor esperado. Essa comparação é feita usando um dos operadores com suporte definido.
AutomationUpdateModel

O modelo de atualização do recurso de automação de segurança.
CloudError

Resposta de erro comum para todas as APIs do Azure Resource Manager retornarem detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.).
CloudErrorBody

O detalhe do erro.
ErrorAdditionalInfo

As informações adicionais do erro de gerenciamento de recursos.
EventSource

Um tipo de origem de evento válido.
Operator

Um operador comparador válido a ser usado. Uma comparação que não diferencia maiúsculas de minúsculas será aplicada a String PropertyType.
PropertyType

O tipo de dados dos operandos comparados (cadeia de caracteres, inteiro, número de ponto flutuante ou um booliano [true/false]]

Automation

O recurso de automação de segurança.

Nome Tipo Description
etag

string

A marca de entidade é usada para comparar duas ou mais entidades do mesmo recurso solicitado.
id

string

ID do recurso
kind

string

Tipo de recurso
location

string

Local onde o recurso é armazenado
name

string

Nome do recurso
properties.actions AutomationAction[]:

Uma coleção das ações que são disparadas se todas as avaliações de regras configuradas, dentro de pelo menos um conjunto de regras, forem verdadeiras.
properties.description

string

A descrição da automação de segurança.
properties.isEnabled

boolean

Indica se a automação de segurança está habilitada.
properties.scopes

AutomationScope[]

Uma coleção de escopos nos quais a lógica de automações de segurança é aplicada. Os escopos com suporte são a própria assinatura ou um grupo de recursos nessa assinatura. A automação só será aplicada em escopos definidos.
properties.sources

AutomationSource[]

Uma coleção dos tipos de evento de origem que avaliam o conjunto de regras de automação de segurança.
tags

object

Uma lista de pares de valores de chave que descrevem o recurso.
type

string

Tipo de recurso

AutomationActionEventHub

O Hub de Eventos de destino para o qual os dados de evento serão exportados. Para saber mais sobre os recursos de exportação contínua do Microsoft Defender para Nuvem, visite https://aka.ms/ASCExportLearnMore

Nome Tipo Description
actionType string:

EventHub

O tipo da ação que será disparada pela Automação
connectionString

string

A cadeia de conexão do Hub de Eventos de destino (ela não será incluída em nenhuma resposta).
eventHubResourceId

string

A ID de Recurso do Azure do Hub de Eventos de destino.
isTrustedServiceEnabled

boolean

Indica se o serviço confiável está habilitado ou não.
sasPolicyName

string

O nome da política SAS do Hub de Eventos de destino.

AutomationActionLogicApp

A ação do aplicativo lógico que deve ser disparada. Para saber mais sobre os recursos de Automação de Fluxo de Trabalho do Microsoft Defender para Nuvem, visite https://aka.ms/ASCWorkflowAutomationLearnMore

Nome Tipo Description
actionType string:

LogicApp

O tipo da ação que será disparada pela Automação
logicAppResourceId

string

A ID de Recurso do Azure do Aplicativo Lógico disparada. Isso também pode residir em outras assinaturas, considerando que você tem permissões para disparar o Aplicativo Lógico
uri

string

O ponto de extremidade URI do gatilho do Aplicativo Lógico (ele não será incluído em nenhuma resposta).

AutomationActionWorkspace

O Workspace do Log Analytics para o qual os dados de evento serão exportados. Os dados de alertas de segurança residirão na tabela 'SecurityAlert' e os dados de avaliações residirão na tabela 'SecurityRecommendation' (nas soluções 'Security'/'SecurityCenterFree'). Observe que, para exibir os dados no workspace, a solução gratuita/padrão do Log Analytics da Central de Segurança precisa ser habilitada nesse workspace. Para saber mais sobre os recursos de exportação contínua do Microsoft Defender para Nuvem, visite https://aka.ms/ASCExportLearnMore

Nome Tipo Description
actionType string:

Workspace

O tipo da ação que será disparada pela Automação
workspaceResourceId

string

A ID de Recurso do Azure do Workspace do Log Analytics totalmente qualificada.

AutomationRuleSet

Um conjunto de regras que avalia todas as suas regras após uma interceptação de evento. Somente quando todas as regras incluídas no conjunto de regras forem avaliadas como 'true', o evento disparará as ações definidas.

Nome Tipo Description
rules

AutomationTriggeringRule[]

Uma regra que é avaliada após a interceptação de eventos. A regra é configurada comparando um valor específico do modelo de evento com um valor esperado. Essa comparação é feita usando um dos operadores com suporte definido.

AutomationScope

Um único escopo de automação.

Nome Tipo Description
description

string

A descrição do escopo de recursos.
scopePath

string

O caminho do escopo de recursos. Pode ser a assinatura na qual a automação é definida ou um grupo de recursos nessa assinatura (IDs de recurso do Azure totalmente qualificadas).

AutomationSource

Os tipos de evento de origem que avaliam o conjunto de regras de automação de segurança. Por exemplo: alertas de segurança e avaliações de segurança. Para saber mais sobre os esquemas de modelos de dados de eventos de segurança com suporte, visite https://aka.ms/ASCAutomationSchemas.

Nome Tipo Description
eventSource

EventSource

Um tipo de origem de evento válido.
ruleSets

AutomationRuleSet[]

Um conjunto de regras que são avaliadas após a interceptação de eventos. Uma disjunção lógica é aplicada entre conjuntos de regras definidos (lógico 'ou').

AutomationTriggeringRule

Uma regra que é avaliada após a interceptação de eventos. A regra é configurada comparando um valor específico do modelo de evento com um valor esperado. Essa comparação é feita usando um dos operadores com suporte definido.

Nome Tipo Description
expectedValue

string

O valor esperado.
operator

Operator

Um operador comparador válido a ser usado. Uma comparação que não diferencia maiúsculas de minúsculas será aplicada a String PropertyType.
propertyJPath

string

O JPath da propriedade do modelo de entidade que deve ser verificada.
propertyType

PropertyType

O tipo de dados dos operandos comparados (cadeia de caracteres, inteiro, número de ponto flutuante ou um booliano [true/false]]

AutomationUpdateModel

O modelo de atualização do recurso de automação de segurança.

Nome Tipo Description
properties.actions AutomationAction[]:

Uma coleção das ações que são disparadas se todas as avaliações de regras configuradas, dentro de pelo menos um conjunto de regras, forem verdadeiras.
properties.description

string

A descrição da automação de segurança.
properties.isEnabled

boolean

Indica se a automação de segurança está habilitada.
properties.scopes

AutomationScope[]

Uma coleção de escopos nos quais a lógica de automações de segurança é aplicada. Os escopos com suporte são a própria assinatura ou um grupo de recursos nessa assinatura. A automação só será aplicada em escopos definidos.
properties.sources

AutomationSource[]

Uma coleção dos tipos de evento de origem que avaliam o conjunto de regras de automação de segurança.
tags

object

Uma lista de pares de valores de chave que descrevem o recurso.

CloudError

Resposta de erro comum para todas as APIs do Azure Resource Manager retornarem detalhes de erro para operações com falha. (Isso também segue o formato de resposta de erro OData.).

Nome Tipo Description
error.additionalInfo

ErrorAdditionalInfo[]

As informações adicionais do erro.
error.code

string

O código de erro.
error.details

CloudErrorBody[]

Os detalhes do erro.
error.message

string

A mensagem de erro.
error.target

string

O destino do erro.

CloudErrorBody

O detalhe do erro.

Nome Tipo Description
additionalInfo

ErrorAdditionalInfo[]

As informações adicionais do erro.
code

string

O código de erro.
details

CloudErrorBody[]

Os detalhes do erro.
message

string

A mensagem de erro.
target

string

O destino do erro.

ErrorAdditionalInfo

As informações adicionais do erro de gerenciamento de recursos.

Nome Tipo Description
info

object

As informações adicionais.
type

string

O tipo de informação adicional.

EventSource

Um tipo de origem de evento válido.

Nome Tipo Description
Alerts

string

Assessments

string

AssessmentsSnapshot

string

AttackPaths

string

AttackPathsSnapshot

string

RegulatoryComplianceAssessment

string

RegulatoryComplianceAssessmentSnapshot

string

SecureScoreControls

string

SecureScoreControlsSnapshot

string

SecureScores

string

SecureScoresSnapshot

string

SubAssessments

string

SubAssessmentsSnapshot

string

Operator

Um operador comparador válido a ser usado. Uma comparação que não diferencia maiúsculas de minúsculas será aplicada a String PropertyType.

Nome Tipo Description
Contains

string

Aplica-se somente a operandos não decimais
EndsWith

string

Aplica-se somente a operandos não decimais
Equals

string

Aplica-se a operandos decimal e não decimais
GreaterThan

string

Aplica-se somente a operandos decimais
GreaterThanOrEqualTo

string

Aplica-se somente a operandos decimais
LesserThan

string

Aplica-se somente a operandos decimais
LesserThanOrEqualTo

string

Aplica-se somente a operandos decimais
NotEquals

string

Aplica-se a operandos decimal e não decimais
StartsWith

string

Aplica-se somente a operandos não decimais

PropertyType

O tipo de dados dos operandos comparados (cadeia de caracteres, inteiro, número de ponto flutuante ou um booliano [true/false]]

Nome Tipo Description
Boolean

string

Integer

string

Number

string

String

string