Поделиться через


Automations - Validate

Проверяет модель автоматизации безопасности перед созданием или обновлением. Все ошибки проверки возвращаются клиенту.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}/validate?api-version=2023-12-01-preview

Параметры URI

Имя В Обязательно Тип Описание
automationName
path True

string

Имя службы автоматизации безопасности.

resourceGroupName
path True

string

Имя группы ресурсов в подписке пользователя. Регистр букв в имени не учитывается.

Regex pattern: ^[-\w\._\(\)]+$

subscriptionId
path True

string

Идентификатор подписки Azure.

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$

api-version
query True

string

Версия API для операции

Текст запроса

Имя Тип Описание
etag

string

Тег сущности используется для сравнения двух или более сущностей из одного запрошенного ресурса.

kind

string

Тип ресурса

location

string

Расположение, в котором хранится ресурс

properties.actions AutomationAction[]:

Коллекция действий, которые активируются, если все настроенные оценки правил, по крайней мере в одном наборе правил, имеют значение true.

properties.description

string

Описание автоматизации безопасности.

properties.isEnabled

boolean

Указывает, включена ли автоматизация безопасности.

properties.scopes

AutomationScope[]

Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.

properties.sources

AutomationSource[]

Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.

tags

object

Список пар "ключ-значение", которые описывают ресурс.

Ответы

Имя Тип Описание
200 OK

AutomationValidationStatus

ОК

Other Status Codes

CloudError

Ошибка, описывающая причину неудачного завершения операции.

Безопасность

azure_auth

Поток OAuth2 в Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Имя Описание
user_impersonation олицетворения учетной записи пользователя

Примеры

Validate the security automation model before create or update

Sample Request

POST https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation/validate?api-version=2023-12-01-preview

{
  "location": "Central US",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment of type customAssessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": [
          {
            "rules": [
              {
                "propertyJPath": "$.Entity.AssessmentType",
                "propertyType": "String",
                "expectedValue": "customAssessment",
                "operator": "Equals"
              }
            ]
          }
        ]
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp",
        "uri": "https://exampleTriggerUri1.com"
      }
    ]
  }
}

Sample Response

{
  "isValid": true,
  "message": "Validation Successful"
}

Определения

Имя Описание
Automation

Ресурс автоматизации безопасности.

AutomationActionEventHub

Целевой концентратор событий, в который будут экспортированы данные событий. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

AutomationActionLogicApp

Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для облака см. в этой статье.https://aka.ms/ASCWorkflowAutomationLearnMore

AutomationActionWorkspace

Рабочая область Log Analytics, в которую будут экспортированы данные событий. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценок — в таблице SecurityRecommendation (в решениях Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics в этой рабочей области. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

AutomationRuleSet

Набор правил, который оценивает все свои правила при перехвате события. Только если все правила, включенные в набор правил, будут оценены как true, событие активирует определенные действия.

AutomationScope

Единый область автоматизации.

AutomationSource

Типы исходных событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных событий безопасности см. на сайте https://aka.ms/ASCAutomationSchemas.

AutomationTriggeringRule

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

AutomationValidationStatus

Контейнер свойств состояния модели автоматизации безопасности.

CloudError

Общие ответы об ошибках для всех API Azure Resource Manager, возвращающие сведения об ошибке для неудачных операций. (Он также соответствует формату ответа об ошибке OData.)

CloudErrorBody

Сведения об ошибке.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

EventSource

Допустимый тип источника события.

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Automation

Ресурс автоматизации безопасности.

Имя Тип Описание
etag

string

Тег сущности используется для сравнения двух или более сущностей из одного запрошенного ресурса.

id

string

Идентификатор ресурса

kind

string

Тип ресурса

location

string

Расположение, в котором хранится ресурс

name

string

Имя ресурса

properties.actions AutomationAction[]:

Коллекция действий, которые активируются, если все настроенные оценки правил, по крайней мере в одном наборе правил, имеют значение true.

properties.description

string

Описание автоматизации безопасности.

properties.isEnabled

boolean

Указывает, включена ли автоматизация безопасности.

properties.scopes

AutomationScope[]

Коллекция областей, к которым применяется логика автоматизации безопасности. Поддерживаемые области — это сама подписка или группа ресурсов в этой подписке. Автоматизация будет применяться только к определенным областям.

properties.sources

AutomationSource[]

Коллекция типов исходных событий, которые оценивают набор правил автоматизации безопасности.

tags

object

Список пар "ключ-значение", которые описывают ресурс.

type

string

Тип ресурса

AutomationActionEventHub

Целевой концентратор событий, в который будут экспортированы данные событий. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

Имя Тип Описание
actionType string:

EventHub

Тип действия, которое будет активировано службой автоматизации.

connectionString

string

Целевой концентратор событий строка подключения (он не будет включен в ответ).

eventHubResourceId

string

Идентификатор ресурса Azure для целевого концентратора событий.

isTrustedServiceEnabled

boolean

Указывает, включена ли доверенная служба.

sasPolicyName

string

Имя политики SAS целевого концентратора событий.

AutomationActionLogicApp

Действие приложения логики, которое должно быть активировано. Дополнительные сведения о возможностях автоматизации рабочих процессов Microsoft Defender для облака см. в этой статье.https://aka.ms/ASCWorkflowAutomationLearnMore

Имя Тип Описание
actionType string:

LogicApp

Тип действия, которое будет активировано службой автоматизации.

logicAppResourceId

string

Активированный идентификатор ресурса Azure приложения логики. Это также может находиться в других подписках, учитывая, что у вас есть разрешения на активацию приложения логики.

uri

string

Конечная точка URI триггера приложения логики (она не будет включена в ответ).

AutomationActionWorkspace

Рабочая область Log Analytics, в которую будут экспортированы данные событий. Данные оповещений системы безопасности будут находиться в таблице SecurityAlert, а данные оценок — в таблице SecurityRecommendation (в решениях Security/SecurityCenterFree). Обратите внимание, что для просмотра данных в рабочей области необходимо включить бесплатное или стандартное решение Центра безопасности Log Analytics в этой рабочей области. Дополнительные сведения о возможностях непрерывного экспорта Microsoft Defender для облака см. на страницеhttps://aka.ms/ASCExportLearnMore

Имя Тип Описание
actionType string:

Workspace

Тип действия, которое будет активировано службой автоматизации.

workspaceResourceId

string

Полный идентификатор ресурса Azure рабочей области Log Analytics.

AutomationRuleSet

Набор правил, который оценивает все свои правила при перехвате события. Только если все правила, включенные в набор правил, будут оценены как true, событие активирует определенные действия.

Имя Тип Описание
rules

AutomationTriggeringRule[]

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

AutomationScope

Единый область автоматизации.

Имя Тип Описание
description

string

Ресурсы область описание.

scopePath

string

Путь к ресурсам область. Может быть подпиской, в которой определена автоматизация, или группой ресурсов в этой подписке (полные идентификаторы ресурсов Azure).

AutomationSource

Типы исходных событий, которые оценивают набор правил автоматизации безопасности. Например, оповещения системы безопасности и оценки безопасности. Дополнительные сведения о поддерживаемых схемах моделей данных событий безопасности см. на сайте https://aka.ms/ASCAutomationSchemas.

Имя Тип Описание
eventSource

EventSource

Допустимый тип источника события.

ruleSets

AutomationRuleSet[]

Набор правил, которые оцениваются при перехвате событий. Между определенными наборами правил (логический "или") применяется логическая деъюнкция.

AutomationTriggeringRule

Правило, которое вычисляется при перехвате событий. Правило настраивается путем сравнения определенного значения из модели событий с ожидаемым значением. Это сравнение выполняется с помощью одного из поддерживаемых наборов операторов.

Имя Тип Описание
expectedValue

string

Ожидаемое значение.

operator

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

propertyJPath

string

JPath свойства модели сущности, которое необходимо проверить.

propertyType

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

AutomationValidationStatus

Контейнер свойств состояния модели автоматизации безопасности.

Имя Тип Описание
isValid

boolean

Указывает, является ли модель допустимой.

message

string

Сообщение проверки.

CloudError

Общие ответы об ошибках для всех API Azure Resource Manager, возвращающие сведения об ошибке для неудачных операций. (Он также соответствует формату ответа об ошибке OData.)

Имя Тип Описание
error.additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.

error.code

string

Код ошибки.

error.details

CloudErrorBody[]

Сведения об ошибке.

error.message

string

Сообщение об ошибке.

error.target

string

Целевой объект ошибки.

CloudErrorBody

Сведения об ошибке.

Имя Тип Описание
additionalInfo

ErrorAdditionalInfo[]

Дополнительные сведения об ошибке.

code

string

Код ошибки.

details

CloudErrorBody[]

Сведения об ошибке.

message

string

Сообщение об ошибке.

target

string

Целевой объект ошибки.

ErrorAdditionalInfo

Дополнительные сведения об ошибке управления ресурсами.

Имя Тип Описание
info

object

Дополнительные сведения.

type

string

Тип дополнительных сведений.

EventSource

Допустимый тип источника события.

Имя Тип Описание
Alerts

string

Assessments

string

AssessmentsSnapshot

string

AttackPaths

string

AttackPathsSnapshot

string

RegulatoryComplianceAssessment

string

RegulatoryComplianceAssessmentSnapshot

string

SecureScoreControls

string

SecureScoreControlsSnapshot

string

SecureScores

string

SecureScoresSnapshot

string

SubAssessments

string

SubAssessmentsSnapshot

string

Operator

Допустимый оператор сравнения для использования. Для String PropertyType будет применено сравнение без учета регистра.

Имя Тип Описание
Contains

string

Применяется только для не десятичных операндов

EndsWith

string

Применяется только для не десятичных операндов

Equals

string

Применяется для операндов decimal и non-decimal

GreaterThan

string

Применяется только для десятичных операндов

GreaterThanOrEqualTo

string

Применяется только для десятичных операндов

LesserThan

string

Применяется только для десятичных операндов

LesserThanOrEqualTo

string

Применяется только для десятичных операндов

NotEquals

string

Применяется для операндов decimal и non-decimal

StartsWith

string

Применяется только для не десятичных операндов

PropertyType

Тип данных сравниваемых операндов (строка, целое число, число с плавающей запятой или логическое значение [true/false]]

Имя Тип Описание
Boolean

string

Integer

string

Number

string

String

string