通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Automation Rules - Get

  • 参考
服务:
Sentinel
API 版本:
2024-01-01-preview

获取自动化规则。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2024-01-01-preview

URI 参数

名称 必需 类型 说明
automationRuleId
 path True

string

自动化规则 ID
resourceGroupName
 path True

string

资源组的名称。 名称不区分大小写。
subscriptionId
 path True

string

目标订阅的 ID。
workspaceName
 path True

string

工作区的名称。

正则表达式模式: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version
 query True

string

用于此操作的 API 版本。

响应

名称 类型 说明
200 OK

AutomationRule

还行
Other Status Codes

CloudError

描述操作失败的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

类型: oauth2
流向: implicit
授权 URL: https://login.microsoftonline.com/common/oauth2/authorize

作用域

名称 说明
user_impersonation 模拟用户帐户

示例

AutomationRules_Get

示例请求

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2024-01-01-preview

示例响应

状态代码:
200 
{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "type": "Microsoft.SecurityInsights/automationRules",
  "properties": {
    "displayName": "Suspicious user sign-in events",
    "order": 1,
    "triggeringLogic": {
      "isEnabled": true,
      "triggersOn": "Incidents",
      "triggersWhen": "Created",
      "conditions": [
        {
          "conditionType": "Property",
          "conditionProperties": {
            "propertyName": "IncidentRelatedAnalyticRuleIds",
            "operator": "Contains",
            "propertyValues": [
              "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
              "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
            ]
          }
        }
      ]
    },
    "actions": [
      {
        "order": 1,
        "actionType": "AddIncidentTask",
        "actionConfiguration": {
          "title": "Reset user passwords",
          "description": "Reset passwords for compromised users."
        }
      }
    ],
    "lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
    "createdTimeUtc": "2019-01-01T13:00:00Z",
    "lastModifiedBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "name": "john doe",
      "userPrincipalName": "john@contoso.com"
    },
    "createdBy": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
      "email": "john.doe@contoso.com",
      "name": "john doe",
      "userPrincipalName": "john@contoso.com"
    }
  }
}

定义

名称 说明
ActionType

自动化规则操作的类型。
AddIncidentTaskActionProperties
AutomationRule
AutomationRuleAddIncidentTaskAction

描述将任务添加到事件的自动化规则操作
AutomationRuleBooleanCondition
AutomationRuleBooleanConditionSupportedOperator
AutomationRuleModifyPropertiesAction

描述用于修改对象的属性的自动化规则操作
AutomationRulePropertyArrayChangedConditionSupportedArrayType
AutomationRulePropertyArrayChangedConditionSupportedChangeType
AutomationRulePropertyArrayChangedValuesCondition
AutomationRulePropertyArrayConditionSupportedArrayConditionType
AutomationRulePropertyArrayConditionSupportedArrayType
AutomationRulePropertyArrayValuesCondition
AutomationRulePropertyChangedConditionSupportedChangedType
AutomationRulePropertyChangedConditionSupportedPropertyType
AutomationRulePropertyConditionSupportedOperator
AutomationRulePropertyConditionSupportedProperty

在自动化规则属性条件中计算的属性。
AutomationRulePropertyValuesChangedCondition
AutomationRulePropertyValuesCondition
AutomationRuleRunPlaybookAction

描述用于运行 playbook 的自动化规则操作
AutomationRuleTriggeringLogic

介绍自动化规则触发逻辑。
BooleanConditionProperties

描述将布尔运算符(例如 AND、OR)应用于条件的自动化规则条件
ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息
CloudError

错误响应结构。
CloudErrorBody

错误详细信息。
ConditionType
createdByType

创建资源的标识的类型。
IncidentClassification

事件关闭的原因
IncidentClassificationReason

事件被关闭的分类原因
IncidentLabel

表示事件标签
IncidentLabelType

标签的类型
IncidentOwnerInfo

事件分配给用户的信息
IncidentPropertiesAction
IncidentSeverity

事件的严重性
IncidentStatus

事件的状态
OwnerType

事件分配给的所有者的类型。
PlaybookActionProperties
PropertyArrayChangedConditionProperties

描述评估数组属性的值更改的自动化规则条件
PropertyArrayConditionProperties

描述评估数组属性值的自动化规则条件
PropertyChangedConditionProperties

描述评估属性值更改的自动化规则条件
PropertyConditionProperties

描述评估属性值的自动化规则条件
systemData

与创建和上次修改资源相关的元数据。
triggersOn
triggersWhen

ActionType

Enumeration

自动化规则操作的类型。

说明
AddIncidentTask

将任务添加到事件对象
ModifyProperties

修改对象的属性
RunPlaybook

在对象上运行 playbook

AddIncidentTaskActionProperties

Object
名称 类型 说明
description

string

任务的说明。
title

string

任务的标题。

AutomationRule

Object
名称 类型 说明
etag

string

Azure 资源的 Etag
id

string

资源的完全限定资源 ID。 例如“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}”
name

string

资源的名称
properties.actions AutomationRuleAction[]:

触发自动化规则时要执行的操作。
properties.createdBy

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息
properties.createdTimeUtc

string

创建自动化规则的时间。
properties.displayName

string

自动化规则的显示名称。
properties.lastModifiedBy

ClientInfo

有关执行某些操作的客户端(用户或应用程序)的信息
properties.lastModifiedTimeUtc

string

上次更新自动化规则的时间。
properties.order

integer

自动化规则的执行顺序。
properties.triggeringLogic

AutomationRuleTriggeringLogic

介绍自动化规则触发逻辑。
systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type

string

资源的类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

AutomationRuleAddIncidentTaskAction

Object

描述将任务添加到事件的自动化规则操作

名称 类型 说明
actionConfiguration

AddIncidentTaskActionProperties

actionType string:

AddIncidentTask

自动化规则操作的类型。
order

integer

AutomationRuleBooleanCondition

Object
名称 类型 说明
innerConditions AutomationRuleCondition[]:

描述自动化规则条件。
operator

AutomationRuleBooleanConditionSupportedOperator

AutomationRuleBooleanConditionSupportedOperator

Enumeration
说明
And

如果所有项条件的计算结果为 true,则计算结果为 true
Or

如果至少一个项条件的计算结果为 true,则计算结果为 true

AutomationRuleModifyPropertiesAction

Object

描述用于修改对象的属性的自动化规则操作

名称 类型 说明
actionConfiguration

IncidentPropertiesAction

actionType string:

ModifyProperties

自动化规则操作的类型。
order

integer

AutomationRulePropertyArrayChangedConditionSupportedArrayType

Enumeration
说明
Alerts

评估警报的条件
Comments

评估注释的条件
Labels

评估标签上的条件
Tactics

评估策略的条件

AutomationRulePropertyArrayChangedConditionSupportedChangeType

Enumeration
说明
Added

评估添加到数组中的项的条件

AutomationRulePropertyArrayChangedValuesCondition

Object
名称 类型 说明
arrayType

AutomationRulePropertyArrayChangedConditionSupportedArrayType

changeType

AutomationRulePropertyArrayChangedConditionSupportedChangeType

AutomationRulePropertyArrayConditionSupportedArrayConditionType

Enumeration
说明
AnyItem

如果任何项满足条件,则评估条件为 true

AutomationRulePropertyArrayConditionSupportedArrayType

Enumeration
说明
CustomDetailValues

评估自定义详细信息值的条件
CustomDetails

评估自定义详细信息键的条件

AutomationRulePropertyArrayValuesCondition

Object
名称 类型 说明
arrayConditionType

AutomationRulePropertyArrayConditionSupportedArrayConditionType

arrayType

AutomationRulePropertyArrayConditionSupportedArrayType

itemConditions AutomationRuleCondition[]:

描述自动化规则条件。

AutomationRulePropertyChangedConditionSupportedChangedType

Enumeration
说明
ChangedFrom

评估属性的上一个值的条件
ChangedTo

评估属性更新后的值的条件

AutomationRulePropertyChangedConditionSupportedPropertyType

Enumeration
说明
IncidentOwner

评估事件所有者的条件
IncidentSeverity

评估事件严重性的条件
IncidentStatus

评估事件状态的条件

AutomationRulePropertyConditionSupportedOperator

Enumeration
说明
Contains

评估属性是否包含至少一个条件值
EndsWith

评估属性是否以任何条件值结尾
Equals

计算属性是否至少等于条件值之一
NotContains

评估属性是否不包含任何条件值
NotEndsWith

计算属性是否不以任何条件值结尾
NotEquals

评估属性是否不等于任何条件值
NotStartsWith

评估属性是否不以任何条件值开头
StartsWith

评估属性是否以任何条件值开头

AutomationRulePropertyConditionSupportedProperty

Enumeration

在自动化规则属性条件中计算的属性。

说明
AccountAadTenantId

Azure Active Directory 租户 ID 帐户
AccountAadUserId

Azure Active Directory 用户 ID 帐户
AccountNTDomain

帐户 NetBIOS 域名
AccountName

帐户名称
AccountObjectGuid

帐户唯一标识符
AccountPUID

帐户 Azure Active Directory Passport 用户 ID
AccountSid

帐户安全标识符
AccountUPNSuffix

帐户用户主体名称后缀
AlertAnalyticRuleIds

警报的分析规则 ID
AlertProductNames

警报产品的名称
AzureResourceResourceId

Azure 资源 ID
AzureResourceSubscriptionId

Azure 资源订阅 ID
CloudApplicationAppId

云应用程序标识符
CloudApplicationAppName

云应用程序名称
DNSDomainName

dns 记录域名
FileDirectory

文件目录完整路径
FileHashValue

文件哈希值
FileName

没有路径的文件名
HostAzureID

主机 Azure 资源 ID
HostNTDomain

主机 NT 域
HostName

不带域的主机名
HostNetBiosName

主机 NetBIOS 名称
HostOSVersion

主机操作系统
IPAddress

IP 地址
IncidentCustomDetailsKey

事件自定义详细信息密钥
IncidentCustomDetailsValue

事件自定义详细信息值
IncidentDescription

事件的说明
IncidentLabel

事件的标签
IncidentProviderName

事件的提供程序名称
IncidentRelatedAnalyticRuleIds

事件的相关分析规则 ID
IncidentSeverity

事件的严重性
IncidentStatus

事件的状态
IncidentTactics

事件的策略
IncidentTitle

事件的标题
IncidentUpdatedBySource

事件的更新源
IoTDeviceId

“IoT 设备 ID
IoTDeviceModel

IoT 设备模型
IoTDeviceName

IoT 设备名称
IoTDeviceOperatingSystem

IoT 设备操作系统
IoTDeviceType

IoT 设备类型
IoTDeviceVendor

IoT 设备供应商
MailMessageDeliveryAction

邮件传递操作
MailMessageDeliveryLocation

邮件传递位置
MailMessageP1Sender

邮件 P1 发件人
MailMessageP2Sender

邮件 P2 发件人
MailMessageRecipient

邮件收件人
MailMessageSenderIP

邮件发件人 IP 地址
MailMessageSubject

邮件主题
MailboxDisplayName

邮箱显示名称
MailboxPrimaryAddress

邮箱主地址
MailboxUPN

邮箱用户主体名称
MalwareCategory

恶意软件类别
MalwareName

恶意软件名称
ProcessCommandLine

进程执行命令行
ProcessId

进程 ID
RegistryKey

注册表项路径
RegistryValueData

字符串格式表示形式的注册表项值
Url

URL

AutomationRulePropertyValuesChangedCondition

Object
名称 类型 说明
changeType

AutomationRulePropertyChangedConditionSupportedChangedType

operator

AutomationRulePropertyConditionSupportedOperator

propertyName

AutomationRulePropertyChangedConditionSupportedPropertyType

propertyValues

string[]

AutomationRulePropertyValuesCondition

Object
名称 类型 说明
operator

AutomationRulePropertyConditionSupportedOperator

propertyName

AutomationRulePropertyConditionSupportedProperty

在自动化规则属性条件中计算的属性。
propertyValues

string[]

AutomationRuleRunPlaybookAction

Object

描述用于运行 playbook 的自动化规则操作

名称 类型 说明
actionConfiguration

PlaybookActionProperties

actionType string:

RunPlaybook

自动化规则操作的类型。
order

integer

AutomationRuleTriggeringLogic

Object

介绍自动化规则触发逻辑。

名称 类型 说明
conditions AutomationRuleCondition[]:

要评估以确定是否应在给定对象上触发自动化规则的条件。
expirationTimeUtc

string

确定自动化规则何时自动过期并禁用。
isEnabled

boolean

确定是启用或禁用自动化规则。
triggersOn

triggersOn

triggersWhen

triggersWhen

BooleanConditionProperties

Object

描述将布尔运算符(例如 AND、OR)应用于条件的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRuleBooleanCondition

conditionType string:

Boolean

ClientInfo

Object

有关执行某些操作的客户端(用户或应用程序)的信息

名称 类型 说明
email

string

客户端的电子邮件。
name

string

客户端的名称。
objectId

string

客户端的对象 ID。
userPrincipalName

string

客户端的用户主体名称。

CloudError

Object

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

Object

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。
message

string

描述错误的消息,旨在适合在用户界面中显示。

ConditionType

Enumeration
说明
Boolean

将布尔运算符(例如 AND、OR)应用于条件
Property

评估对象属性值
PropertyArray

评估对象数组属性值
PropertyArrayChanged

评估对象数组属性更改的值
PropertyChanged

评估对象属性更改的值

createdByType

Enumeration

创建资源的标识的类型。

说明
Application
Key
ManagedIdentity
User

IncidentClassification

Enumeration

事件关闭的原因

说明
BenignPositive

事件为良性积极
FalsePositive

事件为误报
TruePositive

事件为真报
Undetermined

未确定事件分类

IncidentClassificationReason

Enumeration

事件被关闭的分类原因

说明
InaccurateData

分类原因不准确的数据
IncorrectAlertLogic

分类原因不正确警报逻辑
SuspiciousActivity

分类原因为可疑活动
SuspiciousButExpected

分类原因可疑,但预期

IncidentLabel

Object

表示事件标签

名称 类型 说明
labelName

string

标签的名称
labelType

IncidentLabelType

标签的类型

IncidentLabelType

Enumeration

标签的类型

说明
AutoAssigned

系统自动创建的标签
User

用户手动创建的标签

IncidentOwnerInfo

Object

事件分配给用户的信息

名称 类型 说明
assignedTo

string

事件分配给的用户的名称。
email

string

事件分配给的用户的电子邮件。
objectId

string

事件分配给的用户的对象 ID。
ownerType

OwnerType

事件分配给的所有者的类型。
userPrincipalName

string

事件分配给的用户的用户主体名称。

IncidentPropertiesAction

Object
名称 类型 说明
classification

IncidentClassification

事件关闭的原因
classificationComment

string

描述事件关闭的原因。
classificationReason

IncidentClassificationReason

事件被关闭的分类原因
labels

IncidentLabel[]

要添加到事件的标签列表。
owner

IncidentOwnerInfo

事件分配给用户的信息
severity

IncidentSeverity

事件的严重性
status

IncidentStatus

事件的状态

IncidentSeverity

Enumeration

事件的严重性

说明
High

高严重性
Informational

信息严重性
Low

低严重性
Medium

中等严重性

IncidentStatus

Enumeration

事件的状态

说明
Active

正在处理的活动事件
Closed

非活动事件
New

当前未处理的活动事件

OwnerType

Enumeration

事件分配给的所有者的类型。

说明
Group

事件所有者类型是 AAD 组
Unknown

事件所有者类型未知
User

事件所有者类型是 AAD 用户

PlaybookActionProperties

Object
名称 类型 说明
logicAppResourceId

string

playbook 资源的资源 ID。
tenantId

string

playbook 资源的租户 ID。

PropertyArrayChangedConditionProperties

Object

描述评估数组属性的值更改的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyArrayChangedValuesCondition

conditionType string:

PropertyArrayChanged

PropertyArrayConditionProperties

Object

描述评估数组属性值的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyArrayValuesCondition

conditionType string:

PropertyArray

PropertyChangedConditionProperties

Object

描述评估属性值更改的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyValuesChangedCondition

conditionType string:

PropertyChanged

PropertyConditionProperties

Object

描述评估属性值的自动化规则条件

名称 类型 说明
conditionProperties

AutomationRulePropertyValuesCondition

conditionType string:

Property

systemData

Object

与创建和上次修改资源相关的元数据。

名称 类型 说明
createdAt

string

资源创建时间戳(UTC)。
createdBy

string

创建资源的标识。
createdByType

createdByType

创建资源的标识的类型。
lastModifiedAt

string

上次修改的资源时间戳(UTC)
lastModifiedBy

string

上次修改资源的标识。
lastModifiedByType

createdByType

上次修改资源的标识的类型。

triggersOn

Enumeration
说明
Alerts

警报触发
Incidents

事件触发

triggersWhen

Enumeration
说明
Created

在创建的对象上触发
Updated

对更新的对象触发