Automations - Update

Служба:

Defender for Cloud

Версия API:

2023-12-01-preview

Обновляет автоматизацию безопасности

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-preview

Параметры URI

Имя	В	Обязательно	Тип	Описание
automationName	path	True	string	Имя службы автоматизации безопасности.
resourceGroupName	path	True	string	Имя группы ресурсов в подписке пользователя. Имя не учитывает регистр. Шаблон регулярного выражения: ^[-\w\._\(\)]+$
subscriptionId	path	True	string	Идентификатор подписки Azure Шаблон регулярного выражения: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version	query	True	string	Версия API для операции

Текст запроса

Имя	Тип	Описание
properties.actions	AutomationAction[]: AutomationActionLogicApp[] AutomationActionEventHub[] AutomationActionWorkspace[]	Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true.
properties.description	string	Описание службы автоматизации безопасности.
properties.isEnabled	boolean	Указывает, включена ли автоматизация безопасности.
properties.scopes	AutomationScope[]	Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.
properties.sources	AutomationSource[]	Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.
tags	object	Список пар значений ключей, описывающих ресурс.

Ответы

Имя	Тип	Описание
200 OK	Automation	ХОРОШО
Other Status Codes	CloudError	Ответ на ошибку, описывающий причину сбоя операции.

Безопасность

azure_auth

Поток OAuth2 Azure Active Directory

Тип: oauth2
Flow: implicit
URL-адрес авторизации: https://login.microsoftonline.com/common/oauth2/authorize

Области

Имя	Описание
user_impersonation	олицетворения учетной записи пользователя

Примеры

Update a security automation

Образец запроса

HTTP

PATCH https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview

{
  "tags": {
    "Example": "exampleTag"
  },
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments"
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp",
        "uri": "https://exampleTriggerUri1.com"
      }
    ]
  }
}

Java

import com.azure.resourcemanager.security.models.Automation;
import com.azure.resourcemanager.security.models.AutomationActionLogicApp;
import com.azure.resourcemanager.security.models.AutomationScope;
import com.azure.resourcemanager.security.models.AutomationSource;
import com.azure.resourcemanager.security.models.EventSource;
import java.util.Arrays;
import java.util.HashMap;
import java.util.Map;

/**
 * Samples for Automations Update.
 */
public final class Main {
    /*
     * x-ms-original-file:
     * specification/security/resource-manager/Microsoft.Security/preview/2023-12-01-preview/examples/Automations/
     * PatchAutomation_example.json
     */
    /**
     * Sample code: Update a security automation.
     * 
     * @param manager Entry point to SecurityManager.
     */
    public static void updateASecurityAutomation(com.azure.resourcemanager.security.SecurityManager manager) {
        Automation resource = manager.automations().getByResourceGroupWithResponse("exampleResourceGroup",
            "exampleAutomation", com.azure.core.util.Context.NONE).getValue();
        resource.update().withTags(mapOf("Example", "exampleTag")).withDescription(
            "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment")
            .withScopes(Arrays.asList(new AutomationScope().withDescription(
                "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5")
                .withScopePath("/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup")))
            .withSources(Arrays.asList(new AutomationSource().withEventSource(EventSource.ASSESSMENTS)))
            .withActions(Arrays.asList(new AutomationActionLogicApp().withLogicAppResourceId(
                "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1")
                .withUri("https://exampleTriggerUri1.com")))
            .apply();
    }

    // Use "Map.of" if available
    @SuppressWarnings("unchecked")
    private static <T> Map<String, T> mapOf(Object... inputs) {
        Map<String, T> map = new HashMap<>();
        for (int i = 0; i < inputs.length; i += 2) {
            String key = (String) inputs[i];
            T value = (T) inputs[i + 1];
            map.put(key, value);
        }
        return map;
    }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Go

package armsecurity_test

import (
	"context"
	"log"

	"github.com/Azure/azure-sdk-for-go/sdk/azcore/to"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/security/armsecurity"
)

// Generated from example definition: https://github.com/Azure/azure-rest-api-specs/blob/9ac34f238dd6b9071f486b57e9f9f1a0c43ec6f6/specification/security/resource-manager/Microsoft.Security/preview/2023-12-01-preview/examples/Automations/PatchAutomation_example.json
func ExampleAutomationsClient_Update() {
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatalf("failed to obtain a credential: %v", err)
	}
	ctx := context.Background()
	clientFactory, err := armsecurity.NewClientFactory("<subscription-id>", cred, nil)
	if err != nil {
		log.Fatalf("failed to create client: %v", err)
	}
	res, err := clientFactory.NewAutomationsClient().Update(ctx, "exampleResourceGroup", "exampleAutomation", armsecurity.AutomationUpdateModel{
		Tags: map[string]*string{
			"Example": to.Ptr("exampleTag"),
		},
		Properties: &armsecurity.AutomationProperties{
			Description: to.Ptr("An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment"),
			Actions: []armsecurity.AutomationActionClassification{
				&armsecurity.AutomationActionLogicApp{
					ActionType:         to.Ptr(armsecurity.ActionTypeLogicApp),
					LogicAppResourceID: to.Ptr("/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1"),
					URI:                to.Ptr("https://exampleTriggerUri1.com"),
				}},
			Scopes: []*armsecurity.AutomationScope{
				{
					Description: to.Ptr("A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5"),
					ScopePath:   to.Ptr("/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"),
				}},
			Sources: []*armsecurity.AutomationSource{
				{
					EventSource: to.Ptr(armsecurity.EventSourceAssessments),
				}},
		},
	}, nil)
	if err != nil {
		log.Fatalf("failed to finish the request: %v", err)
	}
	// You could use response here. We use blank identifier for just demo purposes.
	_ = res
	// If the HTTP response code is 200 as defined in example definition, your response structure would look as follows. Please pay attention that all the values in the output are fake values for just demo purposes.
	// res.Automation = armsecurity.Automation{
	// 	Location: to.Ptr("Central US"),
	// 	Etag: to.Ptr("new etag value"),
	// 	Name: to.Ptr("exampleAutomation"),
	// 	Type: to.Ptr("Microsoft.Security/automations"),
	// 	ID: to.Ptr("/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation"),
	// 	Tags: map[string]*string{
	// 	},
	// 	Properties: &armsecurity.AutomationProperties{
	// 		Description: to.Ptr("An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment"),
	// 		Actions: []armsecurity.AutomationActionClassification{
	// 			&armsecurity.AutomationActionLogicApp{
	// 				ActionType: to.Ptr(armsecurity.ActionTypeLogicApp),
	// 				LogicAppResourceID: to.Ptr("/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1"),
	// 		}},
	// 		IsEnabled: to.Ptr(true),
	// 		Scopes: []*armsecurity.AutomationScope{
	// 			{
	// 				Description: to.Ptr("A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5"),
	// 				ScopePath: to.Ptr("/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"),
	// 		}},
	// 		Sources: []*armsecurity.AutomationSource{
	// 			{
	// 				EventSource: to.Ptr(armsecurity.EventSourceAssessments),
	// 				RuleSets: []*armsecurity.AutomationRuleSet{
	// 				},
	// 		}},
	// 	},
	// }
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

JavaScript

const { SecurityCenter } = require("@azure/arm-security");
const { DefaultAzureCredential } = require("@azure/identity");

/**
 * This sample demonstrates how to Updates a security automation
 *
 * @summary Updates a security automation
 * x-ms-original-file: specification/security/resource-manager/Microsoft.Security/preview/2023-12-01-preview/examples/Automations/PatchAutomation_example.json
 */
async function updateASecurityAutomation() {
  const subscriptionId =
    process.env["SECURITY_SUBSCRIPTION_ID"] || "a5caac9c-5c04-49af-b3d0-e204f40345d5";
  const resourceGroupName = process.env["SECURITY_RESOURCE_GROUP"] || "exampleResourceGroup";
  const automationName = "exampleAutomation";
  const automation = {
    description:
      "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    actions: [
      {
        actionType: "LogicApp",
        logicAppResourceId:
          "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        uri: "https://exampleTriggerUri1.com",
      },
    ],
    scopes: [
      {
        description:
          "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        scopePath:
          "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup",
      },
    ],
    sources: [{ eventSource: "Assessments" }],
    tags: { example: "exampleTag" },
  };
  const credential = new DefaultAzureCredential();
  const client = new SecurityCenter(credential, subscriptionId);
  const result = await client.automations.update(resourceGroupName, automationName, automation);
  console.log(result);
}

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Пример ответа

Код состояния:

200

{
  "id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
  "name": "exampleAutomation",
  "type": "Microsoft.Security/automations",
  "location": "Central US",
  "etag": "new etag value",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": []
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp"
      }
    ]
  }
}

Определения

Имя	Описание
Automation	Ресурс автоматизации безопасности.
AutomationActionEventHub	Целевой концентратор событий, в который будут экспортированы данные события. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore
AutomationActionLogicApp	Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для Облака см. в https://aka.ms/ASCWorkflowAutomationLearnMore
AutomationActionWorkspace	Рабочая область Log Analytics, в которую будут экспортироваться данные события. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценки будут находиться в таблице SecurityRecommendation (в соответствии с решениями Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore
AutomationRuleSet	Набор правил, который оценивает все его правила при перехвате событий. Только если все включенные правила в наборе правил будут оцениваться как true, событие активирует определенные действия.
AutomationScope	Одна область автоматизации.
AutomationSource	Исходные типы событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных о событиях безопасности см. в https://aka.ms/ASCAutomationSchemas.
AutomationTriggeringRule	Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.
AutomationUpdateModel	Модель обновления ресурса автоматизации безопасности.
CloudError	Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).
CloudErrorBody	Сведения об ошибке.
ErrorAdditionalInfo	Дополнительные сведения об ошибке управления ресурсами.
EventSource	Допустимый тип источника события.
Operator	Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.
PropertyType	Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Automation

Ресурс автоматизации безопасности.

Имя	Тип	Описание
etag	string	Тег сущности используется для сравнения двух или нескольких сущностей из одного запрошенного ресурса.
id	string	Идентификатор ресурса
kind	string	Тип ресурса
location	string	Расположение, в котором хранится ресурс
name	string	Имя ресурса
properties.actions	AutomationAction[]: AutomationActionEventHub[] AutomationActionLogicApp[] AutomationActionWorkspace[]	Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true.
properties.description	string	Описание службы автоматизации безопасности.
properties.isEnabled	boolean	Указывает, включена ли автоматизация безопасности.
properties.scopes	AutomationScope[]	Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.
properties.sources	AutomationSource[]	Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.
tags	object	Список пар значений ключей, описывающих ресурс.
type	string	Тип ресурса

AutomationActionEventHub

Целевой концентратор событий, в который будут экспортированы данные события. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore

Имя	Тип	Описание
actionType	string: EventHub	Тип действия, которое будет запускаться службой автоматизации
connectionString	string	Строка подключения целевого концентратора событий (она не будет включена в какой-либо ответ).
eventHubResourceId	string	Идентификатор ресурса целевого концентратора событий Azure.
isTrustedServiceEnabled	boolean	Указывает, включена ли надежная служба.
sasPolicyName	string	Имя политики SAS целевого концентратора событий.

AutomationActionLogicApp

Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для Облака см. в https://aka.ms/ASCWorkflowAutomationLearnMore

Имя	Тип	Описание
actionType	string: LogicApp	Тип действия, которое будет запускаться службой автоматизации
logicAppResourceId	string	Активированный идентификатор ресурса приложения логики Azure. Это также может находиться в других подписках, учитывая, что у вас есть разрешения на активацию приложения логики
uri	string	Конечная точка URI триггера приложения логики (она не будет включена в ответ).

AutomationActionWorkspace

Рабочая область Log Analytics, в которую будут экспортироваться данные события. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценки будут находиться в таблице SecurityRecommendation (в соответствии с решениями Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics. Дополнительные сведения о возможностях непрерывного экспорта в Microsoft Defender для облака см. в https://aka.ms/ASCExportLearnMore

Имя	Тип	Описание
actionType	string: Workspace	Тип действия, которое будет запускаться службой автоматизации
workspaceResourceId	string	Полный идентификатор ресурса Azure рабочей области Log Analytics.

AutomationRuleSet

Набор правил, который оценивает все его правила при перехвате событий. Только если все включенные правила в наборе правил будут оцениваться как true, событие активирует определенные действия.

Имя	Тип	Описание
rules	AutomationTriggeringRule[]	Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

AutomationScope

Одна область автоматизации.

Имя	Тип	Описание
description	string	Описание области ресурсов.
scopePath	string	Путь к области ресурсов. Может быть подпиской, в которой определена автоматизация или группа ресурсов в этой подписке (полные идентификаторы ресурсов Azure).

AutomationSource

Исходные типы событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных о событиях безопасности см. в https://aka.ms/ASCAutomationSchemas.

Имя	Тип	Описание
eventSource	EventSource	Допустимый тип источника события.
ruleSets	AutomationRuleSet[]	Набор правил, которые оцениваются при перехвате событий. Логическая дисъюнкция применяется между определенными наборами правил (логическими или).

AutomationTriggeringRule

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

Имя	Тип	Описание
expectedValue	string	Ожидаемое значение.
operator	Operator	Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.
propertyJPath	string	JPath свойства модели сущности, которое следует проверить.
propertyType	PropertyType	Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

AutomationUpdateModel

Модель обновления ресурса автоматизации безопасности.

Имя	Тип	Описание
properties.actions	AutomationAction[]: AutomationActionEventHub[] AutomationActionLogicApp[] AutomationActionWorkspace[]	Коллекция действий, которые активируются, если все настроенные оценки правил в пределах по крайней мере одного набора правил имеют значение true.
properties.description	string	Описание службы автоматизации безопасности.
properties.isEnabled	boolean	Указывает, включена ли автоматизация безопасности.
properties.scopes	AutomationScope[]	Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.
properties.sources	AutomationSource[]	Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.
tags	object	Список пар значений ключей, описывающих ресурс.

CloudError

Распространенный ответ об ошибке для всех API Azure Resource Manager для возврата сведений об ошибке для неудачных операций. (Это также следует формату ответа об ошибках OData.).

Имя	Тип	Описание
error.additionalInfo	ErrorAdditionalInfo[]	Дополнительные сведения об ошибке.
error.code	string	Код ошибки.
error.details	CloudErrorBody[]	Сведения об ошибке.
error.message	string	Сообщение об ошибке.
error.target	string	Целевой объект ошибки.

CloudErrorBody

Сведения об ошибке.

Имя	Тип	Описание
additionalInfo	ErrorAdditionalInfo[]	Дополнительные сведения об ошибке.
code	string	Код ошибки.
details	CloudErrorBody[]	Сведения об ошибке.
message	string	Сообщение об ошибке.
target	string	Целевой объект ошибки.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

Имя	Тип	Описание
info	object	Дополнительные сведения.
type	string	Дополнительный тип сведений.

EventSource

Допустимый тип источника события.

Имя	Тип	Описание
Alerts	string
Assessments	string
AssessmentsSnapshot	string
AttackPaths	string
AttackPathsSnapshot	string
RegulatoryComplianceAssessment	string
RegulatoryComplianceAssessmentSnapshot	string
SecureScoreControls	string
SecureScoreControlsSnapshot	string
SecureScores	string
SecureScoresSnapshot	string
SubAssessments	string
SubAssessmentsSnapshot	string

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

Имя	Тип	Описание
Contains	string	Применяется только для не десятичных операндов
EndsWith	string	Применяется только для не десятичных операндов
Equals	string	Применяется для десятичных и не десятичных операндов
GreaterThan	string	Применяется только для десятичных операндов
GreaterThanOrEqualTo	string	Применяется только для десятичных операндов
LesserThan	string	Применяется только для десятичных операндов
LesserThanOrEqualTo	string	Применяется только для десятичных операндов
NotEquals	string	Применяется для десятичных и не десятичных операндов
StartsWith	string	Применяется только для не десятичных операндов

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Имя	Тип	Описание
Boolean	string
Integer	string
Number	string
String	string