Поделиться через


Automations - Update

Обновления автоматизации безопасности

PATCH https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-preview

Параметры URI

Имя В Обязательно Тип Описание
automationName
path True

string

Имя автоматизации безопасности.

resourceGroupName
path True

string

Имя группы ресурсов в подписке пользователя. Регистр букв в имени не учитывается.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True

string

Идентификатор подписки Azure.

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True

string

Версия API для операции

Текст запроса

Имя Тип Описание
properties.actions AutomationAction[]:

Коллекция действий, которые активируются, если все настроенные оценки правил, по крайней мере в одном наборе правил, имеют значение true.

properties.description

string

Описание автоматизации безопасности.

properties.isEnabled

boolean

Указывает, включена ли автоматизация безопасности.

properties.scopes

AutomationScope[]

Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.

properties.sources

AutomationSource[]

Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.

tags

object

Список пар "ключ-значение", которые описывают ресурс.

Ответы

Имя Тип Описание
200 OK

Automation

ОК

Other Status Codes

CloudError

Ошибка, описывающая причину неудачного завершения операции.

Безопасность

azure_auth

Поток OAuth2 в Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Имя Описание
user_impersonation олицетворения учетной записи пользователя

Примеры

Update a security automation

Sample Request

PATCH https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview

{
  "tags": {
    "Example": "exampleTag"
  },
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments"
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp",
        "uri": "https://exampleTriggerUri1.com"
      }
    ]
  }
}

Sample Response

{
  "id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
  "name": "exampleAutomation",
  "type": "Microsoft.Security/automations",
  "location": "Central US",
  "etag": "new etag value",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": []
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp"
      }
    ]
  }
}

Определения

Имя Описание
Automation

Ресурс автоматизации безопасности.

AutomationActionEventHub

Целевой концентратор событий, в который будут экспортированы данные событий. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

AutomationActionLogicApp

Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для облака см. на этой статье.https://aka.ms/ASCWorkflowAutomationLearnMore

AutomationActionWorkspace

Рабочая область Log Analytics, в которую будут экспортироваться данные событий. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценок — в таблице SecurityRecommendation (в решениях Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить в этой рабочей области бесплатное или стандартное решение Log Analytics центра безопасности. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

AutomationRuleSet

Набор правил, который оценивает все свои правила при перехвате события. Только если все правила, включенные в набор правил, будут оценены как true, событие активирует определенные действия.

AutomationScope

Единый область автоматизации.

AutomationSource

Типы исходных событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных событий безопасности см. на сайте https://aka.ms/ASCAutomationSchemas.

AutomationTriggeringRule

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

AutomationUpdateModel

Модель обновления ресурса автоматизации безопасности.

CloudError

Общие ответы об ошибках для всех API-интерфейсов Azure Resource Manager возвращать сведения об ошибках для неудачных операций. (Это также соответствует формату ответа об ошибке OData.)

CloudErrorBody

Сведения об ошибке.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

EventSource

Допустимый тип источника событий.

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Automation

Ресурс автоматизации безопасности.

Имя Тип Описание
etag

string

Тег сущности используется для сравнения двух или более сущностей из одного запрошенного ресурса.

id

string

Идентификатор ресурса

kind

string

Тип ресурса

location

string

Расположение, в котором хранится ресурс

name

string

Имя ресурса

properties.actions AutomationAction[]:

Коллекция действий, которые активируются, если все настроенные оценки правил, по крайней мере в одном наборе правил, имеют значение true.

properties.description

string

Описание автоматизации безопасности.

properties.isEnabled

boolean

Указывает, включена ли автоматизация безопасности.

properties.scopes

AutomationScope[]

Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.

properties.sources

AutomationSource[]

Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.

tags

object

Список пар "ключ-значение", которые описывают ресурс.

type

string

Тип ресурса

AutomationActionEventHub

Целевой концентратор событий, в который будут экспортированы данные событий. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

Имя Тип Описание
actionType string:

EventHub

Тип действия, которое будет активировано службой автоматизации.

connectionString

string

Целевой концентратор событий строка подключения (он не будет включен в ответ).

eventHubResourceId

string

Идентификатор ресурса Azure для целевого концентратора событий.

isTrustedServiceEnabled

boolean

Указывает, включена ли доверенная служба.

sasPolicyName

string

Имя политики SAS целевого концентратора событий.

AutomationActionLogicApp

Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для облака см. на этой статье.https://aka.ms/ASCWorkflowAutomationLearnMore

Имя Тип Описание
actionType string:

LogicApp

Тип действия, которое будет активировано службой автоматизации.

logicAppResourceId

string

Активированный идентификатор ресурса Azure приложения логики. Он также может находиться в других подписках, если у вас есть разрешения на активацию приложения логики.

uri

string

Конечная точка URI триггера приложения логики (она не будет включена в ответ).

AutomationActionWorkspace

Рабочая область Log Analytics, в которую будут экспортироваться данные событий. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценок — в таблице SecurityRecommendation (в решениях Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить в этой рабочей области бесплатное или стандартное решение Log Analytics центра безопасности. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

Имя Тип Описание
actionType string:

Workspace

Тип действия, которое будет активировано службой автоматизации.

workspaceResourceId

string

Полный идентификатор ресурса Azure рабочей области Log Analytics.

AutomationRuleSet

Набор правил, который оценивает все свои правила при перехвате события. Только если все правила, включенные в набор правил, будут оценены как true, событие активирует определенные действия.

Имя Тип Описание
rules

AutomationTriggeringRule[]

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

AutomationScope

Единый область автоматизации.

Имя Тип Описание
description

string

Ресурсы область описание.

scopePath

string

Ресурсы область пути. Может быть подпиской, в которой определена автоматизация, или группой ресурсов в этой подписке (полные идентификаторы ресурсов Azure).

AutomationSource

Типы исходных событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных событий безопасности см. на сайте https://aka.ms/ASCAutomationSchemas.

Имя Тип Описание
eventSource

EventSource

Допустимый тип источника событий.

ruleSets

AutomationRuleSet[]

Набор правил, которые оцениваются при перехвате событий. Логическая дисъюнкция применяется между определенными наборами правил (логическая "или").

AutomationTriggeringRule

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

Имя Тип Описание
expectedValue

string

Ожидаемое значение.

operator

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

propertyJPath

string

JPath свойства модели сущности, которое необходимо проверить.

propertyType

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

AutomationUpdateModel

Модель обновления ресурса автоматизации безопасности.

Имя Тип Описание
properties.actions AutomationAction[]:

Коллекция действий, которые активируются, если все настроенные оценки правил, по крайней мере в одном наборе правил, имеют значение true.

properties.description

string

Описание автоматизации безопасности.

properties.isEnabled

boolean

Указывает, включена ли автоматизация безопасности.

properties.scopes

AutomationScope[]

Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.

properties.sources

AutomationSource[]

Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.

tags

object

Список пар "ключ-значение", которые описывают ресурс.

CloudError

Общие ответы об ошибках для всех API-интерфейсов Azure Resource Manager возвращать сведения об ошибках для неудачных операций. (Это также соответствует формату ответа об ошибке OData.)

Имя Тип Описание
error.additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.

error.code

string

Код ошибки.

error.details

CloudErrorBody[]

Сведения об ошибке.

error.message

string

Сообщение об ошибке.

error.target

string

Целевой объект ошибки.

CloudErrorBody

Сведения об ошибке.

Имя Тип Описание
additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.

code

string

Код ошибки.

details

CloudErrorBody[]

Сведения об ошибке.

message

string

Сообщение об ошибке.

target

string

Целевой объект ошибки.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

Имя Тип Описание
info

object

Дополнительные сведения.

type

string

Тип дополнительных сведений.

EventSource

Допустимый тип источника событий.

Имя Тип Описание
Alerts

string

Assessments

string

AssessmentsSnapshot

string

AttackPaths

string

AttackPathsSnapshot

string

RegulatoryComplianceAssessment

string

RegulatoryComplianceAssessmentSnapshot

string

SecureScoreControls

string

SecureScoreControlsSnapshot

string

SecureScores

string

SecureScoresSnapshot

string

SubAssessments

string

SubAssessmentsSnapshot

string

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

Имя Тип Описание
Contains

string

Применяется только для не десятичных операндов

EndsWith

string

Применяется только для не десятичных операндов

Equals

string

Применяется к десятичным и не десятичным операндам

GreaterThan

string

Применяется только для десятичных операндов

GreaterThanOrEqualTo

string

Применяется только для десятичных операндов

LesserThan

string

Применяется только для десятичных операндов

LesserThanOrEqualTo

string

Применяется только для десятичных операндов

NotEquals

string

Применяется к десятичным и не десятичным операндам

StartsWith

string

Применяется только для не десятичных операндов

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Имя Тип Описание
Boolean

string

Integer

string

Number

string

String

string