Automation Rules - List
すべての自動化規則を取得します。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules?api-version=2024-03-01URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
resource
|
path | True |
string |
リソース グループの名前。 名前の大文字と小文字は区別されます。 |
|
subscription
|
path | True |
string uuid |
ターゲット サブスクリプションの ID。 値は UUID である必要があります。 |
|
workspace
|
path | True |
string |
ワークスペースの名前。 正規表現パターン: |
|
api-version
|
query | True |
string |
この操作に使用する API バージョン。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
[OK] |
|
| Other Status Codes |
操作に失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
| 名前 | 説明 |
|---|---|
| user_impersonation | ユーザー アカウントの借用 |
例
AutomationRules_List
要求のサンプル
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules?api-version=2024-03-01
応答のサンプル
{
"value": [
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/automationRules",
"properties": {
"displayName": "Suspicious user sign-in events",
"order": 1,
"triggeringLogic": {
"isEnabled": true,
"triggersOn": "Incidents",
"triggersWhen": "Created",
"conditions": [
{
"conditionType": "Property",
"conditionProperties": {
"propertyName": "IncidentRelatedAnalyticRuleIds",
"operator": "Contains",
"propertyValues": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
]
}
}
]
},
"actions": [
{
"order": 1,
"actionType": "AddIncidentTask",
"actionConfiguration": {
"title": "Reset user passwords",
"description": "Reset passwords for compromised users."
}
}
],
"lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
"createdTimeUtc": "2019-01-01T13:00:00Z",
"lastModifiedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
},
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
}
}
}
]
}定義
ActionType
オートメーション ルール アクションの種類。
| 名前 | 型 | 説明 |
|---|---|---|
| AddIncidentTask |
string |
インシデント オブジェクトにタスクを追加する |
| ModifyProperties |
string |
オブジェクトのプロパティを変更する |
| RunPlaybook |
string |
オブジェクトでプレイブックを実行する |
AddIncidentTaskActionProperties
インシデントにタスクを追加する自動化ルール アクションについて説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| description |
string |
タスクの説明です。 |
| title |
string |
タスクのタイトル。 |
AutomationRule
| 名前 | 型 | 説明 |
|---|---|---|
| etag |
string |
Azure リソースの Etag |
| id |
string |
リソースの完全修飾リソース ID。 例 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
| name |
string |
リソースの名前 |
| properties.actions | AutomationRuleAction[]: |
オートメーション ルールがトリガーされたときに実行するアクション。 |
| properties.createdBy |
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報 |
|
| properties.createdTimeUtc |
string |
オートメーション ルールが作成された時刻。 |
| properties.displayName |
string |
オートメーション ルールの表示名。 |
| properties.lastModifiedBy |
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報 |
|
| properties.lastModifiedTimeUtc |
string |
オートメーション ルールが最後に更新された時刻。 |
| properties.order |
integer |
自動化ルールの実行順序。 |
| properties.triggeringLogic |
ロジックをトリガーする自動化ルールについて説明します。 |
|
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
AutomationRuleAddIncidentTaskAction
インシデントにタスクを追加する自動化ルール アクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration |
インシデントにタスクを追加する自動化ルール アクションについて説明します。 |
|
| actionType |
string:
Add |
オートメーション ルール アクションの種類。 |
| order |
integer |
AutomationRuleBooleanCondition
ブール演算子を使用したオートメーション ルールの条件について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| innerConditions | AutomationRuleCondition[]: |
オートメーション ルールの条件について説明します。 |
| operator |
ブール条件演算子について説明します。 |
AutomationRuleBooleanConditionSupportedOperator
ブール条件演算子について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| And |
string |
すべての項目条件が true として評価される場合、true と評価されます |
| Or |
string |
アイテムの条件の少なくとも 1 つが true と評価される場合、true と評価されます |
AutomationRuleModifyPropertiesAction
オブジェクトのプロパティを変更するオートメーション ルール アクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Modify |
オートメーション ルール アクションの種類。 |
| order |
integer |
AutomationRulePropertyArrayChangedConditionSupportedArrayType
| 名前 | 型 | 説明 |
|---|---|---|
| Alerts |
string |
アラートの条件を評価する |
| Comments |
string |
コメントの条件を評価する |
| Labels |
string |
ラベルの条件を評価する |
| Tactics |
string |
戦術の条件を評価する |
AutomationRulePropertyArrayChangedConditionSupportedChangeType
| 名前 | 型 | 説明 |
|---|---|---|
| Added |
string |
配列に追加された項目の条件を評価する |
AutomationRulePropertyArrayChangedValuesCondition
| 名前 | 型 | 説明 |
|---|---|---|
| arrayType |
Automation |
|
| changeType |
Automation |
AutomationRulePropertyArrayConditionSupportedArrayConditionType
配列条件の評価型について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| AnyItem |
string |
いずれかの項目が満たす場合に条件を true として評価する |
AutomationRulePropertyArrayConditionSupportedArrayType
配列条件で評価された配列型について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| CustomDetailValues |
string |
カスタム詳細の値に基づいて条件を評価する |
| CustomDetails |
string |
カスタム詳細キーの条件を評価する |
AutomationRulePropertyArrayValuesCondition
配列プロパティのオートメーション ルールの条件について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| arrayConditionType |
Automation |
配列条件の評価型について説明します。 |
| arrayType |
配列条件で評価された配列型について説明します。 |
|
| itemConditions | AutomationRuleCondition[]: |
オートメーション ルールの条件について説明します。 |
AutomationRulePropertyChangedConditionSupportedChangedType
| 名前 | 型 | 説明 |
|---|---|---|
| ChangedFrom |
string |
プロパティの前の値で条件を評価する |
| ChangedTo |
string |
プロパティの更新された値に基づいて条件を評価する |
AutomationRulePropertyChangedConditionSupportedPropertyType
| 名前 | 型 | 説明 |
|---|---|---|
| IncidentOwner |
string |
インシデント所有者の条件を評価する |
| IncidentSeverity |
string |
インシデントの重大度に関する条件を評価する |
| IncidentStatus |
string |
インシデントの状態に関する条件を評価する |
AutomationRulePropertyConditionSupportedOperator
| 名前 | 型 | 説明 |
|---|---|---|
| Contains |
string |
プロパティに条件値の少なくとも 1 つが含まれているかどうかを評価します |
| EndsWith |
string |
プロパティがいずれかの条件値で終わるかどうかを評価します |
| Equals |
string |
プロパティが条件値の少なくとも 1 つと等しいかどうかを評価します |
| NotContains |
string |
プロパティに条件値が含まれていないかどうかを評価します |
| NotEndsWith |
string |
プロパティがいずれかの条件値で終わらないかどうかを評価します |
| NotEquals |
string |
プロパティがいずれかの条件値と等しくないかどうかを評価します |
| NotStartsWith |
string |
プロパティがいずれかの条件値で始まらないかどうかを評価します |
| StartsWith |
string |
プロパティがいずれかの条件値で始まるかどうかを評価します |
AutomationRulePropertyConditionSupportedProperty
オートメーション ルールのプロパティ条件で評価するプロパティ。
| 名前 | 型 | 説明 |
|---|---|---|
| AccountAadTenantId |
string |
アカウント Azure Active Directory テナント ID |
| AccountAadUserId |
string |
アカウント Azure Active Directory ユーザー ID |
| AccountNTDomain |
string |
アカウント NetBIOS ドメイン名 |
| AccountName |
string |
アカウント名。 |
| AccountObjectGuid |
string |
アカウントの一意識別子 |
| AccountPUID |
string |
アカウント Azure Active Directory Passport ユーザー ID |
| AccountSid |
string |
アカウントのセキュリティ識別子 |
| AccountUPNSuffix |
string |
アカウント ユーザー プリンシパル名サフィックス |
| AlertAnalyticRuleIds |
string |
アラートの分析ルール ID |
| AlertProductNames |
string |
アラートの製品の名前 |
| AzureResourceResourceId |
string |
Azure リソース ID |
| AzureResourceSubscriptionId |
string |
Azure リソース サブスクリプション ID |
| CloudApplicationAppId |
string |
クラウド アプリケーション識別子 |
| CloudApplicationAppName |
string |
クラウド アプリケーション名 |
| DNSDomainName |
string |
DNS レコードのドメイン名 |
| FileDirectory |
string |
ファイル ディレクトリの完全パス |
| FileHashValue |
string |
ファイル ハッシュ値 |
| FileName |
string |
パスのないファイル名 |
| HostAzureID |
string |
ホスト Azure リソース ID |
| HostNTDomain |
string |
ホスト NT ドメイン |
| HostName |
string |
ドメインのないホスト名 |
| HostNetBiosName |
string |
ホスト NetBIOS 名 |
| HostOSVersion |
string |
ホスト オペレーティング システム |
| IPAddress |
string |
IP アドレス |
| IncidentCustomDetailsKey |
string |
インシデント カスタム詳細キー |
| IncidentCustomDetailsValue |
string |
インシデント のカスタム詳細値 |
| IncidentDescription |
string |
インシデントの説明 |
| IncidentLabel |
string |
インシデントのラベル |
| IncidentProviderName |
string |
インシデントのプロバイダー名 |
| IncidentRelatedAnalyticRuleIds |
string |
インシデントの関連する分析ルール ID |
| IncidentSeverity |
string |
インシデントの重大度 |
| IncidentStatus |
string |
インシデントの状態 |
| IncidentTactics |
string |
インシデントの戦術 |
| IncidentTitle |
string |
インシデントのタイトル |
| IncidentUpdatedBySource |
string |
インシデントの更新ソース |
| IoTDeviceId |
string |
"IoT デバイス ID |
| IoTDeviceModel |
string |
IoT デバイス モデル |
| IoTDeviceName |
string |
IoT デバイス名 |
| IoTDeviceOperatingSystem |
string |
IoT デバイス のオペレーティング システム |
| IoTDeviceType |
string |
IoT デバイスの種類 |
| IoTDeviceVendor |
string |
IoT デバイス ベンダー |
| MailMessageDeliveryAction |
string |
メール メッセージ配信アクション |
| MailMessageDeliveryLocation |
string |
メール メッセージの配信場所 |
| MailMessageP1Sender |
string |
メール メッセージ P1 送信者 |
| MailMessageP2Sender |
string |
メール メッセージ P2 送信者 |
| MailMessageRecipient |
string |
メール メッセージの受信者 |
| MailMessageSenderIP |
string |
メール メッセージ送信者の IP アドレス |
| MailMessageSubject |
string |
メール メッセージの件名 |
| MailboxDisplayName |
string |
メールボックスの表示名 |
| MailboxPrimaryAddress |
string |
メールボックスのプライマリ アドレス |
| MailboxUPN |
string |
メールボックス ユーザー プリンシパル名 |
| MalwareCategory |
string |
マルウェア カテゴリ |
| MalwareName |
string |
マルウェア名 |
| ProcessCommandLine |
string |
プロセス実行コマンド ライン |
| ProcessId |
string |
プロセス ID |
| RegistryKey |
string |
レジストリ キーのパス |
| RegistryValueData |
string |
文字列形式の表現のレジストリ キー値 |
| Url |
string |
URL |
AutomationRulePropertyValuesChangedCondition
| 名前 | 型 | 説明 |
|---|---|---|
| changeType | ||
| operator | ||
| propertyName | ||
| propertyValues |
string[] |
AutomationRulePropertyValuesCondition
| 名前 | 型 | 説明 |
|---|---|---|
| operator | ||
| propertyName |
オートメーション ルールのプロパティ条件で評価するプロパティ。 |
|
| propertyValues |
string[] |
AutomationRuleRunPlaybookAction
プレイブックを実行するオートメーション ルール アクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Run |
オートメーション ルール アクションの種類。 |
| order |
integer |
AutomationRulesList
| 名前 | 型 | 説明 |
|---|---|---|
| nextLink |
string |
|
| value |
AutomationRuleTriggeringLogic
ロジックをトリガーする自動化ルールについて説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| conditions | AutomationRuleCondition[]: |
特定のオブジェクトに対してオートメーション ルールをトリガーする必要があるかどうかを判断するために評価する条件。 |
| expirationTimeUtc |
string |
自動化ルールの有効期限が自動的に切れ、無効になるタイミングを決定します。 |
| isEnabled |
boolean |
自動化ルールを有効にするか無効にするかを決定します。 |
| triggersOn | ||
| triggersWhen |
BooleanConditionProperties
ブール演算子 (AND、OR など) を条件に適用するオートメーション ルールの条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties |
ブール演算子を使用したオートメーション ルールの条件について説明します。 |
|
| conditionType |
string:
Boolean |
ClientInfo
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報
| 名前 | 型 | 説明 |
|---|---|---|
|
string |
クライアントの電子メール。 |
|
| name |
string |
クライアントの名前。 |
| objectId |
string |
クライアントのオブジェクト ID。 |
| userPrincipalName |
string |
クライアントのユーザー プリンシパル名。 |
CloudError
エラー応答の構造。
| 名前 | 型 | 説明 |
|---|---|---|
| error |
エラー データ |
CloudErrorBody
エラーの詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| code |
string |
エラーの識別子。 コードは不変であり、プログラムによって使用されることを意図しています。 |
| message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
ConditionType
| 名前 | 型 | 説明 |
|---|---|---|
| Boolean |
string |
条件にブール演算子 (AND、OR など) を適用する |
| Property |
string |
オブジェクト のプロパティ値を評価する |
| PropertyArray |
string |
オブジェクト配列プロパティ値を評価する |
| PropertyArrayChanged |
string |
オブジェクト配列プロパティの変更された値を評価する |
| PropertyChanged |
string |
オブジェクト プロパティの変更された値を評価する |
createdByType
リソースを作成した ID の種類。
| 名前 | 型 | 説明 |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
IncidentClassification
インシデントが閉じられた理由
| 名前 | 型 | 説明 |
|---|---|---|
| BenignPositive |
string |
インシデントは無害な陽性でした |
| FalsePositive |
string |
インシデントが誤検知 |
| TruePositive |
string |
インシデントは真陽性でした |
| Undetermined |
string |
インシデント分類が未確定 |
IncidentClassificationReason
インシデントが閉じられた分類の理由
| 名前 | 型 | 説明 |
|---|---|---|
| InaccurateData |
string |
分類の理由が不正確なデータでした |
| IncorrectAlertLogic |
string |
分類の理由が正しくないアラート ロジックでした |
| SuspiciousActivity |
string |
分類の理由が疑わしいアクティビティでした |
| SuspiciousButExpected |
string |
分類の理由は疑わしいが、予想される |
IncidentLabel
インシデント ラベルを表します
| 名前 | 型 | 説明 |
|---|---|---|
| labelName |
string |
ラベルの名前 |
| labelType |
ラベルの種類 |
IncidentLabelType
ラベルの種類
| 名前 | 型 | 説明 |
|---|---|---|
| AutoAssigned |
string |
システムによって自動的に作成されるラベル |
| User |
string |
ユーザーが手動で作成したラベル |
IncidentOwnerInfo
インシデントが割り当てられているユーザーに関する情報
| 名前 | 型 | 説明 |
|---|---|---|
| assignedTo |
string |
インシデントが割り当てられているユーザーの名前。 |
|
string |
インシデントが割り当てられているユーザーのメール。 |
|
| objectId |
string |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
| ownerType |
インシデントが割り当てられている所有者の種類。 |
|
| userPrincipalName |
string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
IncidentPropertiesAction
| 名前 | 型 | 説明 |
|---|---|---|
| classification |
インシデントが閉じられた理由 |
|
| classificationComment |
string |
インシデントが閉じられた理由について説明します。 |
| classificationReason |
インシデントが閉じられた分類の理由 |
|
| labels |
インシデントに追加するラベルの一覧。 |
|
| owner |
インシデントが割り当てられているユーザーに関する情報 |
|
| severity |
インシデントの重大度 |
|
| status |
インシデントの状態 |
IncidentSeverity
インシデントの重大度
| 名前 | 型 | 説明 |
|---|---|---|
| High |
string |
重要度レベル |
| Informational |
string |
情報の重要度 |
| Low |
string |
重大度: 低 |
| Medium |
string |
重要度レベル |
IncidentStatus
インシデントの状態
| 名前 | 型 | 説明 |
|---|---|---|
| Active |
string |
処理されているアクティブなインシデント |
| Closed |
string |
アクティブでないインシデント |
| New |
string |
現在処理されていないアクティブなインシデント |
OwnerType
インシデントが割り当てられている所有者の種類。
| 名前 | 型 | 説明 |
|---|---|---|
| Group |
string |
インシデント所有者の種類は AAD グループです |
| Unknown |
string |
インシデント所有者の種類が不明です |
| User |
string |
インシデント所有者の種類は AAD ユーザーです |
PlaybookActionProperties
| 名前 | 型 | 説明 |
|---|---|---|
| logicAppResourceId |
string |
プレイブック リソースのリソース ID。 |
| tenantId |
string |
プレイブック リソースのテナント ID。 |
PropertyArrayChangedConditionProperties
配列プロパティの値の変更を評価するオートメーション ルールの条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyArrayConditionProperties
配列プロパティの値を評価するオートメーション ルールの条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties |
配列プロパティのオートメーション ルールの条件について説明します。 |
|
| conditionType |
string:
Property |
PropertyChangedConditionProperties
プロパティの値の変更を評価するオートメーション ルールの条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyConditionProperties
プロパティの値を評価するオートメーション ルールの条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
systemData
リソースの作成と最後の変更に関連するメタデータ。
| 名前 | 型 | 説明 |
|---|---|---|
| createdAt |
string |
リソース作成のタイムスタンプ (UTC)。 |
| createdBy |
string |
リソースを作成した ID。 |
| createdByType |
リソースを作成した ID の種類。 |
|
| lastModifiedAt |
string |
リソースの最終変更のタイムスタンプ (UTC) |
| lastModifiedBy |
string |
リソースを最後に変更した ID。 |
| lastModifiedByType |
リソースを最後に変更した ID の種類。 |
triggersOn
| 名前 | 型 | 説明 |
|---|---|---|
| Alerts |
string |
アラートのトリガー |
| Incidents |
string |
インシデントでのトリガー |
triggersWhen
| 名前 | 型 | 説明 |
|---|---|---|
| Created |
string |
作成されたオブジェクトに対してトリガーする |
| Updated |
string |
更新されたオブジェクトに対してトリガーする |