tipo de recurso detectionRule

Espacio de nombres: microsoft.graph.security

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Representa una regla de detección personalizada escrita en búsqueda avanzada para reconocer automáticamente los eventos de seguridad cuando se producen y desencadenar alertas y acciones de respuesta.

Las reglas de detección personalizadas permiten supervisar de forma proactiva varios eventos y estados del sistema mediante consultas de búsqueda avanzadas , incluida la actividad de infracción sospechosa y los puntos de conexión mal configurados. Una regla de detección personalizada reconoce automáticamente los eventos de seguridad cuando se producen y desencadena alertas y acciones de respuesta. Puede establecer las reglas para que se ejecuten a intervalos regulares, generando alertas y realizando acciones de respuesta siempre que se produzcan coincidencias.

Hereda de la entidad.

Methods

Método Tipo devuelto Descripción
List Colección microsoft.graph.security.detectionRule Obtenga una lista de los objetos detectionRule y sus propiedades.
Crear microsoft.graph.security.detectionRule Cree un nuevo objeto detectionRule .
Get microsoft.graph.security.detectionRule Lea las propiedades y relaciones de un objeto detectionRule .
Actualizar microsoft.graph.security.detectionRule Actualice las propiedades de un objeto detectionRule .
Delete Ninguno Elimine un objeto detectionRule .

Propiedades

Propiedad Tipo Descripción
createdBy String Nombre del usuario o la aplicación que creó la regla. Solo lectura. Admite $filter (eq, ne, not, in, startsWith, endsWith, contains).
createdDateTime DateTimeOffset Marca de tiempo de creación de reglas. Solo lectura. Admite $filter (eq, ne, not, le, ge, lt, ) gty $orderby.
description Cadena Descripción proporcionada por el usuario de la regla de detección. Admite $filter (eq, ne, not, in, startsWith, endsWith y contains).
displayName String Nombre para mostrar de la regla. Admite $filter (eq, ne, not, in, startsWith, endsWith, ) containsy $orderby.
id Cadena Identificador único de la regla. Heredado de la entidad. Admite $filter (eq, ne, not, in) y $orderby.
lastModifiedBy Cadena Nombre del usuario o aplicación que actualizó por última vez la regla. Solo lectura. Admite $filter (eq, ne, not, in, startsWith, endsWith, contains).
lastModifiedDateTime DateTimeOffset Marca de tiempo de la última vez que se actualizó la regla. Solo lectura. Admite $filter (eq, ne, not, le, ge, lt, ) gty $orderby.
queryCondition microsoft.graph.security.queryCondition Consulta de búsqueda avanzada que define la lógica de detección de esta regla. Admite $filter en queryCondition/queryText (String) con eq, ne, not, in, startsWith, , , endsWith. contains
schedule microsoft.graph.security.ruleSchedule Programación desencadenante de esta regla. Admite $filter la programación/frecuencia (duración) con eq, ne, , lenot, ge, , lt, gt. Es compatible con $orderbyschedule/frequency y schedule/nextRunDateTime.
status microsoft.graph.security.detectionRuleStatus Estado de ejecución actual de la regla. Los valores posibles son: enabled, disabled, autoDisabled y unknownFutureValue Admite $filter (eq, ne, not, in) y $orderby.
detectorId (en desuso) Cadena Identificador de detector interno. Obsoleto. Esta propiedad se quitará de este recurso el 2026-10-01.
isEnabled (en desuso) Booleano Indica si la regla está activada para el inquilino. Admite $filter (eq, ne y not). Obsoleto. Use el estado en su lugar. Esta propiedad se quitará de este recurso el 2026-10-01.
detectionAction microsoft.graph.security.detectionAction Las acciones realizadas cuando esta regla realiza una detección, incluida la alerta que se crea y las acciones de respuesta automatizadas. Admite $filter las siguientes propiedades alertTemplate anidadas:
  • Cadena: detectionAction/alertTemplate/title, detectionAction/alertTemplate/description, detectionAction/alertTemplate/category, detectionAction/alertTemplate/recommendedActions: cada una admite eq, ne, not, startsWithin, , endsWith, contains.
  • Enumeración: detectionAction/alertTemplate/severity : admite eq, ne, not, in.
  • lastRunDetails (en desuso) microsoft.graph.security.runDetails Detalles de ejecución en tiempo de ejecución para la ejecución de regla más reciente. Admite $filter en las siguientes propiedades anidadas:
  • String: lastRunDetails/failureReason : admite eq, ne, not, in, startsWith, , endsWith. contains
  • DateTimeOffset: lastRunDetails/lastRunDateTime : admite eq, ne, not, le, ge, , gtlt.
  • Enumeración: lastRunDetails/status, lastRunDetails/errorCode: cada uno admite eq, ne, innot.
  • Obsoleto. Esta propiedad se quitará de este recurso el 2026-10-01. Los detalles de la ejecución en tiempo de ejecución no se exponen en la API v1.0.

    Relaciones

    Ninguna.

    Representación JSON

    La siguiente representación JSON muestra el tipo de recurso.

    {
      "@odata.type": "#microsoft.graph.security.detectionRule",
      "id": "String (identifier)",
      "displayName": "String",
      "description": "String",
      "status": "String",
      "createdBy": "String",
      "createdDateTime": "String (timestamp)",
      "lastModifiedBy": "String",
      "lastModifiedDateTime": "String (timestamp)",
      "queryCondition": {
        "@odata.type": "microsoft.graph.security.queryCondition"
      },
      "schedule": {
        "@odata.type": "microsoft.graph.security.ruleSchedule"
      },
      "detectionAction": {
        "@odata.type": "microsoft.graph.security.detectionAction"
      },
      "detectorId": "String",
      "isEnabled": "Boolean",
      "lastRunDetails": {
        "@odata.type": "microsoft.graph.security.runDetails"
      }
    }