通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Automations - Get

  • 参考
Service:
Defender for Cloud
API Version:
2023-12-01-preview

检索有关安全自动化模型的信息。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/automations/{automationName}?api-version=2023-12-01-preview

URI 参数

名称 必需 类型 说明
automationName
 path True

string

安全自动化名称。
resourceGroupName
 path True

string

用户订阅中资源组的名称。 此名称不区分大小写。

Regex pattern: ^[-\w\._\(\)]+$
subscriptionId
 path True

string

Azure 订阅 ID

Regex pattern: ^[0-9A-Fa-f]{8}-([0-9A-Fa-f]{4}-){3}[0-9A-Fa-f]{12}$
api-version
 query True

string

操作的 API 版本

响应

名称 类型 说明
200 OK

Automation

确定
Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称 说明
user_impersonation 模拟用户帐户

示例

Retrieve a security automation

Sample Request

GET https://management.azure.com/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation?api-version=2023-12-01-preview

Sample Response

Status code:
200 
{
  "id": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/exampleResourceGroup/providers/Microsoft.Security/automations/exampleAutomation",
  "name": "exampleAutomation",
  "type": "Microsoft.Security/automations",
  "etag": "etag value",
  "location": "Central US",
  "tags": {},
  "properties": {
    "description": "An example of a security automation that triggers one LogicApp resource (myTest1) on any security assessment of type customAssessment",
    "isEnabled": true,
    "scopes": [
      {
        "description": "A description that helps to identify this scope - for example: security assessments that relate to the resource group myResourceGroup within the subscription a5caac9c-5c04-49af-b3d0-e204f40345d5",
        "scopePath": "/subscriptions/a5caac9c-5c04-49af-b3d0-e204f40345d5/resourceGroups/myResourceGroup"
      }
    ],
    "sources": [
      {
        "eventSource": "Assessments",
        "ruleSets": [
          {
            "rules": [
              {
                "propertyJPath": "$.Entity.AssessmentType",
                "propertyType": "String",
                "expectedValue": "customAssessment",
                "operator": "Equals"
              }
            ]
          }
        ]
      }
    ],
    "actions": [
      {
        "logicAppResourceId": "/subscriptions/e54a4a18-5b94-4f90-9471-bd3decad8a2e/resourceGroups/sample/providers/Microsoft.Logic/workflows/MyTest1",
        "actionType": "LogicApp"
      }
    ]
  }
}

定义

名称 说明
Automation

安全自动化资源。
AutomationActionEventHub

事件数据将导出到的目标事件中心。 若要详细了解 Microsoft Defender for Cloud 连续导出功能,请访问https://aka.ms/ASCExportLearnMore
AutomationActionLogicApp

应触发的逻辑应用操作。 若要详细了解 Microsoft Defender for Cloud 的工作流自动化功能,请访问https://aka.ms/ASCWorkflowAutomationLearnMore
AutomationActionWorkspace

事件数据将导出到的 Log Analytics 工作区。 安全警报数据将驻留在“SecurityAlert”表中,评估数据将驻留在“SecurityRecommendation”表中, (“Security”/“SecurityCenterFree”解决方案) 下。 请注意,若要查看工作区中的数据,需要在该工作区上启用安全中心 Log Analytics 免费/标准解决方案。 若要详细了解 Microsoft Defender for Cloud 连续导出功能,请访问https://aka.ms/ASCExportLearnMore
AutomationRuleSet

一个规则集,用于在事件拦截时评估其所有规则。 仅当规则集中包含的所有规则的计算结果为“true”时,事件才会触发定义的操作。
AutomationScope

单个自动化范围。
AutomationSource

评估安全自动化规则集的源事件类型。 例如 - 安全警报和安全评估。 若要详细了解支持的安全事件数据模型架构 ,请访问 https://aka.ms/ASCAutomationSchemas
AutomationTriggeringRule

在事件拦截时评估的规则。 通过将事件模型中的特定值与预期值进行比较来配置规则。 此比较通过使用受支持的运算符集之一来完成。
CloudError

对所有 Azure 资源管理器 API 的常见错误响应,可返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式.) 。
CloudErrorBody

错误详细信息。
ErrorAdditionalInfo

资源管理错误附加信息。
EventSource

有效的事件源类型。
Operator

要使用的有效比较器运算符。 将针对 String PropertyType 应用不区分大小写的比较。
PropertyType

比较操作数的数据类型 (字符串、整数、浮点数或布尔值 [true/false]]

Automation

安全自动化资源。

名称 类型 说明
etag

string

实体标记用于比较同一请求资源中的两个或多个实体。
id

string

资源 ID
kind

string

资源的种类
location

string

存储资源的位置
name

string

资源名称
properties.actions AutomationAction[]:

如果至少一个规则集中所有配置的规则评估为 true,则触发的操作集合。
properties.description

string

安全自动化说明。
properties.isEnabled

boolean

指示是否启用安全自动化。
properties.scopes

AutomationScope[]

应用安全自动化逻辑的范围集合。 支持的范围是订阅本身或该订阅下的资源组。 自动化仅适用于定义的范围。
properties.sources

AutomationSource[]

评估安全自动化规则集的源事件类型的集合。
tags

object

描述资源的键值对的列表。
type

string

资源类型

AutomationActionEventHub

事件数据将导出到的目标事件中心。 若要详细了解 Microsoft Defender for Cloud 连续导出功能,请访问https://aka.ms/ASCExportLearnMore

名称 类型 说明
actionType string:

EventHub

自动化将触发的操作的类型
connectionString

string

目标事件中心连接字符串 (不会包含在任何响应) 中。
eventHubResourceId

string

目标事件中心 Azure 资源 ID。
isTrustedServiceEnabled

boolean

指示是否启用受信任的服务。
sasPolicyName

string

目标事件中心 SAS 策略名称。

AutomationActionLogicApp

应触发的逻辑应用操作。 若要详细了解 Microsoft Defender for Cloud 的工作流自动化功能,请访问https://aka.ms/ASCWorkflowAutomationLearnMore

名称 类型 说明
actionType string:

LogicApp

自动化将触发的操作的类型
logicAppResourceId

string

触发的逻辑应用 Azure 资源 ID。 如果你有权触发逻辑应用,这也可以驻留在其他订阅上
uri

string

逻辑应用触发器 URI 终结点 (不会包含在任何响应) 中。

AutomationActionWorkspace

事件数据将导出到的 Log Analytics 工作区。 安全警报数据将驻留在“SecurityAlert”表中,评估数据将驻留在“SecurityRecommendation”表中, (“Security”/“SecurityCenterFree”解决方案) 下。 请注意,若要查看工作区中的数据,需要在该工作区上启用安全中心 Log Analytics 免费/标准解决方案。 若要详细了解 Microsoft Defender for Cloud 连续导出功能,请访问https://aka.ms/ASCExportLearnMore

名称 类型 说明
actionType string:

Workspace

自动化将触发的操作的类型
workspaceResourceId

string

完全限定的 Log Analytics 工作区 Azure 资源 ID。

AutomationRuleSet

一个规则集,用于在事件拦截时评估其所有规则。 仅当规则集中包含的所有规则的计算结果为“true”时,事件才会触发定义的操作。

名称 类型 说明
rules

AutomationTriggeringRule[]

在事件拦截时评估的规则。 通过将事件模型中的特定值与预期值进行比较来配置规则。 此比较通过使用受支持的运算符集之一来完成。

AutomationScope

单个自动化范围。

名称 类型 说明
description

string

资源范围说明。
scopePath

string

资源范围路径。 可以是在其上定义自动化的订阅,也可以是该订阅下的资源组, () 完全限定的 Azure 资源 ID。

AutomationSource

评估安全自动化规则集的源事件类型。 例如 - 安全警报和安全评估。 若要详细了解支持的安全事件数据模型架构 ,请访问 https://aka.ms/ASCAutomationSchemas

名称 类型 说明
eventSource

EventSource

有效的事件源类型。
ruleSets

AutomationRuleSet[]

一组根据事件拦截进行评估的规则。 逻辑析取在定义的规则集 (逻辑“or”) 之间应用。

AutomationTriggeringRule

在事件拦截时评估的规则。 通过将事件模型中的特定值与预期值进行比较来配置规则。 此比较通过使用受支持的运算符集之一来完成。

名称 类型 说明
expectedValue

string

预期值。
operator

Operator

要使用的有效比较器运算符。 将针对 String PropertyType 应用不区分大小写的比较。
propertyJPath

string

应检查的实体模型属性的 JPath。
propertyType

PropertyType

比较操作数的数据类型 (字符串、整数、浮点数或布尔值 [true/false]]

CloudError

对所有 Azure 资源管理器 API 的常见错误响应,可返回失败操作的错误详细信息。 (这也遵循 OData 错误响应格式.) 。

名称 类型 说明
error.additionalInfo

ErrorAdditionalInfo[]

错误附加信息。
error.code

string

错误代码。
error.details

CloudErrorBody[]

错误详细信息。
error.message

string

错误消息。
error.target

string

错误目标。

CloudErrorBody

错误详细信息。

名称 类型 说明
additionalInfo

ErrorAdditionalInfo[]

错误附加信息。
code

string

错误代码。
details

CloudErrorBody[]

错误详细信息。
message

string

错误消息。
target

string

错误目标。

ErrorAdditionalInfo

资源管理错误附加信息。

名称 类型 说明
info

object

其他信息。
type

string

其他信息类型。

EventSource

有效的事件源类型。

名称 类型 说明
Alerts

string

Assessments

string

AssessmentsSnapshot

string

AttackPaths

string

AttackPathsSnapshot

string

RegulatoryComplianceAssessment

string

RegulatoryComplianceAssessmentSnapshot

string

SecureScoreControls

string

SecureScoreControlsSnapshot

string

SecureScores

string

SecureScoresSnapshot

string

SubAssessments

string

SubAssessmentsSnapshot

string

Operator

要使用的有效比较器运算符。 将针对 String PropertyType 应用不区分大小写的比较。

名称 类型 说明
Contains

string

仅适用于非十进制操作数
EndsWith

string

仅适用于非十进制操作数
Equals

string

适用于十进制和非十进制操作数
GreaterThan

string

仅适用于十进制操作数
GreaterThanOrEqualTo

string

仅适用于十进制操作数
LesserThan

string

仅适用于十进制操作数
LesserThanOrEqualTo

string

仅适用于十进制操作数
NotEquals

string

适用于十进制和非十进制操作数
StartsWith

string

仅适用于非十进制操作数

PropertyType

比较操作数的数据类型 (字符串、整数、浮点数或布尔值 [true/false]]

名称 类型 说明
Boolean

string

Integer

string

Number

string

String

string