你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Automation Rules - Get

获取自动化规则。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2024-01-01-preview

URI 参数

名称 必需 类型 说明
automationRuleId
path True

string

自动化规则 ID

resourceGroupName
path True

string

资源组的名称。 名称不区分大小写。

subscriptionId
path True

string

目标订阅的 ID。

workspaceName
path True

string

工作区的名称。

正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

用于此操作的 API 版本。

响应

名称 类型 说明
200 OK

AutomationRule

还行

Other Status Codes

CloudError

描述操作失败的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称 说明
user_impersonation 模拟用户帐户

示例

AutomationRules_Get

示例请求

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-01-01-preview

示例响应

{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/automationRules",
  "properties": {
    "displayName": "Suspicious user sign-in events",
    "order": 1,
    "triggeringLogic": {
      "isEnabled": true,
      "triggersOn": "Incidents",
      "triggersWhen": "Created",
      "conditions": [
        {
          "conditionType": "Property",
          "conditionProperties": {
            "propertyName": "IncidentRelatedAnalyticRuleIds",
            "operator": "Contains",
            "propertyValues": [
              "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
              "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
            ]
          }
        }
      ]
    },
    "actions": [
      {
        "order": 1,
        "actionType": "AddIncidentTask",
        "actionConfiguration": {
          "title": "Reset user passwords",
          "description": "Reset passwords for compromised users."
        }
      }
    ],
    "lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
    "createdTimeUtc": "2019-01-01T13:00:00Z",
    "lastModifiedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "name": "john doe",
      "userPrincipalName": "john@contoso.com"
    },
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "name": "john doe",
      "userPrincipalName": "john@contoso.com"
    }
  }
}

定义

名称 说明
ActionType

自动化规则操作的类型。

AddIncidentTaskActionProperties
AutomationRule
AutomationRuleAddIncidentTaskAction

描述将任务添加到事件的自动化规则操作

AutomationRuleBooleanCondition
AutomationRuleBooleanConditionSupportedOperator
AutomationRuleModifyPropertiesAction

描述用于修改对象的属性的自动化规则操作

AutomationRulePropertyArrayChangedConditionSupportedArrayType
AutomationRulePropertyArrayChangedConditionSupportedChangeType
AutomationRulePropertyArrayChangedValuesCondition
AutomationRulePropertyArrayConditionSupportedArrayConditionType
AutomationRulePropertyArrayConditionSupportedArrayType
AutomationRulePropertyArrayValuesCondition
AutomationRulePropertyChangedConditionSupportedChangedType
AutomationRulePropertyChangedConditionSupportedPropertyType
AutomationRulePropertyConditionSupportedOperator
AutomationRulePropertyConditionSupportedProperty

在自动化规则属性条件中计算的属性。

AutomationRulePropertyValuesChangedCondition
AutomationRulePropertyValuesCondition
AutomationRuleRunPlaybookAction

描述用于运行 playbook 的自动化规则操作

AutomationRuleTriggeringLogic

介绍自动化规则触发逻辑。

BooleanConditionProperties

描述将布尔运算符(例如 AND、OR)应用于条件的自动化规则条件

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

ConditionType
createdByType

创建资源的标识的类型。

IncidentClassification

事件关闭的原因

IncidentClassificationReason

事件被关闭的分类原因

IncidentLabel

表示事件标签

IncidentLabelType

标签的类型

IncidentOwnerInfo

事件分配给用户的信息

IncidentPropertiesAction
IncidentSeverity

事件的严重性

IncidentStatus

事件的状态

OwnerType

事件分配给的所有者的类型。

PlaybookActionProperties
PropertyArrayChangedConditionProperties

描述评估数组属性的值更改的自动化规则条件

PropertyArrayConditionProperties

描述评估数组属性值的自动化规则条件

PropertyChangedConditionProperties

描述评估属性值更改的自动化规则条件

PropertyConditionProperties

描述评估属性值的自动化规则条件

systemData

与创建和上次修改资源相关的元数据。

triggersOn
triggersWhen

ActionType

自动化规则操作的类型。

说明
AddIncidentTask

将任务添加到事件对象

ModifyProperties

修改对象的属性

RunPlaybook

在对象上运行 playbook

AddIncidentTaskActionProperties

名称 类型 说明
description

string

任务的说明。

title

string

任务的标题。

AutomationRule

名称 类型 说明
etag

string

Azure 资源的 Etag

id

string

资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}”

name

string

资源的名称

properties.actions AutomationRuleAction[]:

触发自动化规则时要执行的操作。

properties.createdBy

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息

properties.createdTimeUtc

string

创建自动化规则的时间。

properties.displayName

string

自动化规则的显示名称。

properties.lastModifiedBy

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息

properties.lastModifiedTimeUtc

string

上次更新自动化规则的时间。

properties.order

integer

自动化规则的执行顺序。

properties.triggeringLogic

AutomationRuleTriggeringLogic

介绍自动化规则触发逻辑。

systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。

type

string

资源的类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

AutomationRuleAddIncidentTaskAction

描述将任务添加到事件的自动化规则操作

名称 类型 说明
actionConfiguration

AddIncidentTaskActionProperties

actionType string:

AddIncidentTask

自动化规则操作的类型。

order

integer

AutomationRuleBooleanCondition

名称 类型 说明
innerConditions AutomationRuleCondition[]:

描述自动化规则条件。

operator

AutomationRuleBooleanConditionSupportedOperator

AutomationRuleBooleanConditionSupportedOperator

说明
And

如果所有项条件的计算结果为 true,则计算结果为 true

Or

如果至少一个项条件的计算结果为 true,则计算结果为 true

AutomationRuleModifyPropertiesAction

描述用于修改对象的属性的自动化规则操作

名称 类型 说明
actionConfiguration

IncidentPropertiesAction

actionType string:

ModifyProperties

自动化规则操作的类型。

order

integer

AutomationRulePropertyArrayChangedConditionSupportedArrayType

说明
Alerts

评估警报的条件

Comments

评估注释的条件

Labels

评估标签上的条件

Tactics

评估策略的条件

AutomationRulePropertyArrayChangedConditionSupportedChangeType

说明
Added

评估添加到数组中的项的条件

AutomationRulePropertyArrayChangedValuesCondition

名称 类型 说明
arrayType

AutomationRulePropertyArrayChangedConditionSupportedArrayType

changeType

AutomationRulePropertyArrayChangedConditionSupportedChangeType

AutomationRulePropertyArrayConditionSupportedArrayConditionType

说明
AnyItem

如果任何项满足条件,则评估条件为 true

AutomationRulePropertyArrayConditionSupportedArrayType

说明
CustomDetailValues

评估自定义详细信息值的条件

CustomDetails

评估自定义详细信息键的条件

AutomationRulePropertyArrayValuesCondition

名称 类型 说明
arrayConditionType

AutomationRulePropertyArrayConditionSupportedArrayConditionType

arrayType

AutomationRulePropertyArrayConditionSupportedArrayType

itemConditions AutomationRuleCondition[]:

描述自动化规则条件。

AutomationRulePropertyChangedConditionSupportedChangedType

说明
ChangedFrom

评估属性的上一个值的条件

ChangedTo

评估属性更新后的值的条件

AutomationRulePropertyChangedConditionSupportedPropertyType

说明
IncidentOwner

评估事件所有者的条件

IncidentSeverity

评估事件严重性的条件

IncidentStatus

评估事件状态的条件

AutomationRulePropertyConditionSupportedOperator

说明
Contains

评估属性是否包含至少一个条件值

EndsWith

评估属性是否以任何条件值结尾

Equals

计算属性是否至少等于条件值之一

NotContains

评估属性是否不包含任何条件值

NotEndsWith

计算属性是否不以任何条件值结尾

NotEquals

评估属性是否不等于任何条件值

NotStartsWith

评估属性是否不以任何条件值开头

StartsWith

评估属性是否以任何条件值开头

AutomationRulePropertyConditionSupportedProperty

在自动化规则属性条件中计算的属性。

说明
AccountAadTenantId

Azure Active Directory 租户 ID 帐户

AccountAadUserId

Azure Active Directory 用户 ID 帐户

AccountNTDomain

帐户 NetBIOS 域名

AccountName

帐户名称

AccountObjectGuid

帐户唯一标识符

AccountPUID

帐户 Azure Active Directory Passport 用户 ID

AccountSid

帐户安全标识符

AccountUPNSuffix

帐户用户主体名称后缀

AlertAnalyticRuleIds

警报的分析规则 ID

AlertProductNames

警报产品的名称

AzureResourceResourceId

Azure 资源 ID

AzureResourceSubscriptionId

Azure 资源订阅 ID

CloudApplicationAppId

云应用程序标识符

CloudApplicationAppName

云应用程序名称

DNSDomainName

dns 记录域名

FileDirectory

文件目录完整路径

FileHashValue

文件哈希值

FileName

没有路径的文件名

HostAzureID

主机 Azure 资源 ID

HostNTDomain

主机 NT 域

HostName

不带域的主机名

HostNetBiosName

主机 NetBIOS 名称

HostOSVersion

主机操作系统

IPAddress

IP 地址

IncidentCustomDetailsKey

事件自定义详细信息密钥

IncidentCustomDetailsValue

事件自定义详细信息值

IncidentDescription

事件的说明

IncidentLabel

事件的标签

IncidentProviderName

事件的提供程序名称

IncidentRelatedAnalyticRuleIds

事件的相关分析规则 ID

IncidentSeverity

事件的严重性

IncidentStatus

事件的状态

IncidentTactics

事件的策略

IncidentTitle

事件的标题

IncidentUpdatedBySource

事件的更新源

IoTDeviceId

“IoT 设备 ID

IoTDeviceModel

IoT 设备模型

IoTDeviceName

IoT 设备名称

IoTDeviceOperatingSystem

IoT 设备操作系统

IoTDeviceType

IoT 设备类型

IoTDeviceVendor

IoT 设备供应商

MailMessageDeliveryAction

邮件传递操作

MailMessageDeliveryLocation

邮件传递位置

MailMessageP1Sender

邮件 P1 发件人

MailMessageP2Sender

邮件 P2 发件人

MailMessageRecipient

邮件收件人

MailMessageSenderIP

邮件发件人 IP 地址

MailMessageSubject

邮件主题

MailboxDisplayName

邮箱显示名称

MailboxPrimaryAddress

邮箱主地址

MailboxUPN

邮箱用户主体名称

MalwareCategory

恶意软件类别

MalwareName

恶意软件名称

ProcessCommandLine

进程执行命令行

ProcessId

进程 ID

RegistryKey

注册表项路径

RegistryValueData

字符串格式表示形式的注册表项值

Url

URL

AutomationRulePropertyValuesChangedCondition

名称 类型 说明
changeType

AutomationRulePropertyChangedConditionSupportedChangedType

operator

AutomationRulePropertyConditionSupportedOperator

propertyName

AutomationRulePropertyChangedConditionSupportedPropertyType

propertyValues

string[]

AutomationRulePropertyValuesCondition

名称 类型 说明
operator

AutomationRulePropertyConditionSupportedOperator

propertyName

AutomationRulePropertyConditionSupportedProperty

在自动化规则属性条件中计算的属性。

propertyValues

string[]

AutomationRuleRunPlaybookAction

描述用于运行 playbook 的自动化规则操作

名称 类型 说明
actionConfiguration

PlaybookActionProperties

actionType string:

RunPlaybook

自动化规则操作的类型。

order

integer

AutomationRuleTriggeringLogic

介绍自动化规则触发逻辑。

名称 类型 说明
conditions AutomationRuleCondition[]:

要评估以确定是否应在给定对象上触发自动化规则的条件。

expirationTimeUtc

string

确定自动化规则何时自动过期并禁用。

isEnabled

boolean

确定是启用或禁用自动化规则。

triggersOn

triggersOn

triggersWhen

triggersWhen

BooleanConditionProperties

描述将布尔运算符(例如 AND、OR)应用于条件的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRuleBooleanCondition

conditionType string:

Boolean

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息

名称 类型 说明
email

string

客户端的电子邮件。

name

string

客户端的名称。

objectId

string

客户端的对象 ID。

userPrincipalName

string

客户端的用户主体名称。

CloudError

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message

string

描述错误的消息,旨在适合在用户界面中显示。

ConditionType

说明
Boolean

将布尔运算符(例如 AND、OR)应用于条件

Property

评估对象属性值

PropertyArray

评估对象数组属性值

PropertyArrayChanged

评估对象数组属性更改的值

PropertyChanged

评估对象属性更改的值

createdByType

创建资源的标识的类型。

说明
Application
Key
ManagedIdentity
User

IncidentClassification

事件关闭的原因

说明
BenignPositive

事件为良性积极

FalsePositive

事件为误报

TruePositive

事件为真报

Undetermined

未确定事件分类

IncidentClassificationReason

事件被关闭的分类原因

说明
InaccurateData

分类原因不准确的数据

IncorrectAlertLogic

分类原因不正确警报逻辑

SuspiciousActivity

分类原因为可疑活动

SuspiciousButExpected

分类原因可疑,但预期

IncidentLabel

表示事件标签

名称 类型 说明
labelName

string

标签的名称

labelType

IncidentLabelType

标签的类型

IncidentLabelType

标签的类型

说明
AutoAssigned

系统自动创建的标签

User

用户手动创建的标签

IncidentOwnerInfo

事件分配给用户的信息

名称 类型 说明
assignedTo

string

事件分配给的用户的名称。

email

string

事件分配给的用户的电子邮件。

objectId

string

事件分配给的用户的对象 ID。

ownerType

OwnerType

事件分配给的所有者的类型。

userPrincipalName

string

事件分配给的用户的用户主体名称。

IncidentPropertiesAction

名称 类型 说明
classification

IncidentClassification

事件关闭的原因

classificationComment

string

描述事件关闭的原因。

classificationReason

IncidentClassificationReason

事件被关闭的分类原因

labels

IncidentLabel[]

要添加到事件的标签列表。

owner

IncidentOwnerInfo

事件分配给用户的信息

severity

IncidentSeverity

事件的严重性

status

IncidentStatus

事件的状态

IncidentSeverity

事件的严重性

说明
High

高严重性

Informational

信息严重性

Low

低严重性

Medium

中等严重性

IncidentStatus

事件的状态

说明
Active

正在处理的活动事件

Closed

非活动事件

New

当前未处理的活动事件

OwnerType

事件分配给的所有者的类型。

说明
Group

事件所有者类型是 AAD 组

Unknown

事件所有者类型未知

User

事件所有者类型是 AAD 用户

PlaybookActionProperties

名称 类型 说明
logicAppResourceId

string

playbook 资源的资源 ID。

tenantId

string

playbook 资源的租户 ID。

PropertyArrayChangedConditionProperties

描述评估数组属性的值更改的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyArrayChangedValuesCondition

conditionType string:

PropertyArrayChanged

PropertyArrayConditionProperties

描述评估数组属性值的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyArrayValuesCondition

conditionType string:

PropertyArray

PropertyChangedConditionProperties

描述评估属性值更改的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyValuesChangedCondition

conditionType string:

PropertyChanged

PropertyConditionProperties

描述评估属性值的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyValuesCondition

conditionType string:

Property

systemData

与创建和上次修改资源相关的元数据。

名称 类型 说明
createdAt

string

资源创建时间戳(UTC)。

createdBy

string

创建资源的标识。

createdByType

createdByType

创建资源的标识的类型。

lastModifiedAt

string

上次修改的资源时间戳(UTC)

lastModifiedBy

string

上次修改资源的标识。

lastModifiedByType

createdByType

上次修改资源的标识的类型。

triggersOn

说明
Alerts

警报触发

Incidents

事件触发

triggersWhen

说明
Created

在创建的对象上触发

Updated

对更新的对象触发