Получение функции detectionRule

Статья
06/21/2024

Пространство имен: microsoft.graph.security

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Чтение свойств и повторного определения настраиваемого правила обнаружения.

С помощью пользовательских средств обнаружения можно упреждающе отслеживать различные события и состояния системы и реагировать на них, включая предполагаемые действия по нарушению безопасности и неправильно настроенные ресурсы в сети организации. Пользовательские правила обнаружения, написанные на языке запросов Kusto (KQL), автоматически активируют оповещения и действия реагирования при возникновении событий, соответствующих запросу KQL.

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба	Правительство США L4	Правительство США L5 (DOD)	Китай управляется 21Vianet
✅	❌	❌	❌

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения	Разрешения с наименьшими привилегиями	Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись)	CustomDetection.Read.All	CustomDetection.ReadWrite.All
Делегированные (личная учетная запись Майкрософт)	Не поддерживается.	Не поддерживается.
Приложение	CustomDetection.Read.All	CustomDetection.ReadWrite.All

HTTP-запрос

GET /security/rules/detectionRules/{ruleId}

Необязательные параметры запросов

Этот метод поддерживает некоторые параметры запросов OData для настройки отклика. Общие сведения см. в статье Параметры запроса OData.

Заголовки запросов

Имя	Описание
Авторизация	Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.

Текст запроса

Не указывайте текст запроса для этого метода.

Отклик

В случае успешного 200 OK выполнения этот метод возвращает код отклика и объект microsoft.graph.security.detectionRule в теле отклика.

Примеры

Запрос

Ниже показан пример запроса.

GET https://graph.microsoft.com/beta/security/rules/detectionRules/7506


// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Rules.DetectionRules["{detectionRule-id}"].GetAsync();

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.



mgc-beta security rules detection-rules get --detection-rule-id {detectionRule-id}

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.



// Code snippets are only available for the latest major version. Current major version is $v0.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  //other-imports
)


// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
detectionRules, err := graphClient.Security().Rules().DetectionRules().ByDetectionRuleId("detectionRule-id").Get(context.Background(), nil)

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.models.security.DetectionRule result = graphClient.security().rules().detectionRules().byDetectionRuleId("{detectionRule-id}").get();

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


const options = {
	authProvider,
};

const client = Client.init(options);

let detectionRule = await client.api('/security/rules/detectionRules/7506')
	.version('beta')
	.get();

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


<?php
use Microsoft\Graph\Beta\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->security()->rules()->detectionRules()->byDetectionRuleId('detectionRule-id')->get()->wait();

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


Import-Module Microsoft.Graph.Beta.Security

Get-MgBetaSecurityRuleDetectionRule -DetectionRuleId $detectionRuleId

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python

result = await graph_client.security.rules.detection_rules.by_detection_rule_id('detectionRule-id').get()

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Отклик

Ниже показан пример отклика.

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.detectionRule",
  "id": "7506",
  "displayName": "ban file",
  "isEnabled": true,
  "createdBy": "NaderK@winatptestlic06.ccsctp.net",
  "createdDateTime": "2021-02-28T16:28:15.3863467Z",
  "lastModifiedDateTime": "2023-05-24T09:26:11.8630516Z",
  "lastModifiedBy": "GlobalAdmin@unifiedrbactest3.ccsctp.net",
  "detectorId": "67895317-b2a8-4ac3-8f8b-fa6b7765f2fe",
  "queryCondition": {
    "queryText": "DeviceFileEvents\r\n| where Timestamp > ago(1h)\r\n| where FileName == \"ifz30zlx.dll\"",
    "lastModifiedDateTime": null
  },
  "schedule": {
    "period": "24H",
    "nextRunDateTime": "2023-06-26T08:52:06.1766667Z"
  },
  "lastRunDetails": {
    "lastRunDateTime": "2023-06-25T08:52:06.1766667Z",
    "status": null,
    "failureReason": null,
    "errorCode": null
  },
  "detectionAction": {
    "alertTemplate": {
      "title": "unwanted dll",
      "description": "test",
      "severity": "low",
      "category": "Malware",
      "recommendedActions": null,
      "mitreTechniques": [],
      "impactedAssets": []
    },
    "organizationalScope": null,
    "responseActions": [
      {
        "@odata.type": "#microsoft.graph.security.restrictAppExecutionResponseAction",
        "identifier": "deviceId"
      },
      {
        "@odata.type": "#microsoft.graph.security.initiateInvestigationResponseAction",
        "identifier": "deviceId"
      },
      {
        "@odata.type": "#microsoft.graph.security.collectInvestigationPackageResponseAction",
        "identifier": "deviceId"
      },
      {
        "@odata.type": "#microsoft.graph.security.runAntivirusScanResponseAction",
        "identifier": "deviceId"
      },
      {
        "@odata.type": "#microsoft.graph.security.isolateDeviceResponseAction",
        "isolationType": "full",
        "identifier": "deviceId"
      },
      {
        "@odata.type": "#microsoft.graph.security.blockFileResponseAction",
        "identifier": "sha1",
        "deviceGroupNames": []
      }
    ]
  }
}

Поделиться через

Получение функции detectionRule

Разрешения

HTTP-запрос

Необязательные параметры запросов

Заголовки запросов

Текст запроса

Отклик

Примеры

Запрос

Отклик

Обратная связь

Дополнительные ресурсы