Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Espacio de nombres: microsoft.graph.security
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Lea las propiedades y relaciones de un objeto detectionRule .
Con las detecciones personalizadas, puede supervisar y responder de forma proactiva a diversos eventos y estados del sistema, incluida la actividad de infracción sospechosa y los recursos mal configurados en la red de su organización. Las reglas de detección personalizadas, que se escriben en el lenguaje de consulta Kusto (KQL), desencadenan automáticamente alertas y acciones automatizadas cuando se producen eventos que coinciden con una consulta KQL.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global | Gobierno de EE. UU. L4 | Us Government L5 (DOD) | China operada por 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Permissions
Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
| Tipo de permiso | Permisos con privilegios mínimos | Permisos con privilegios más altos |
|---|---|---|
| Delegado (cuenta profesional o educativa) | CustomDetection.Read.All | CustomDetection.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) | No admitida. | No admitida. |
| Aplicación | CustomDetection.Read.All | CustomDetection.ReadWrite.All |
Importante
Para el acceso delegado mediante cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol que conceda los permisos necesarios para esta operación. Las reglas de detección personalizadas usan el modelo de control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR. Se admiten los siguientes roles de Microsoft Entra:
- Lector de seguridad
- Lector global
- Operador de seguridad
- Administrador de seguridad
Es posible que se necesiten permisos de lectura adicionales específicos de la carga de trabajo para ver las reglas que tienen como destino datos de cargas de trabajo específicas de Defender (por ejemplo, Defender para punto de conexión, Defender para Office 365). Para obtener más información, consulte Microsoft Defender XDR RBAC unificado.
Solicitud HTTP
GET /security/rules/detectionRules/{detectionRuleId}
Parámetros de consulta opcionales
Este método admite los Parámetros de consulta de OData a modo de ayuda para personalizar la respuesta. Para obtener información general, vea Parámetros de consulta OData.
Encabezados de solicitud
| Nombre | Descripción |
|---|---|
| Authorization | {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
Cuerpo de la solicitud
No proporcione un cuerpo de solicitud para este método.
Respuesta
Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y un objeto microsoft.graph.security.detectionRule en el cuerpo de la respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud.
GET https://graph.microsoft.com/beta/security/rules/detectionRules/office-encoded-powershell
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.security.detectionRule",
"id": "office-encoded-powershell",
"displayName": "Suspicious encoded PowerShell from Office",
"description": "Detects encoded PowerShell processes launched by Office applications, a common phishing payload pattern.",
"status": "enabled",
"createdBy": "alice@contoso.com",
"createdDateTime": "2026-05-25T10:15:00Z",
"lastModifiedBy": "alice@contoso.com",
"lastModifiedDateTime": "2026-05-25T10:15:00Z",
"queryCondition": {
"queryText": "DeviceProcessEvents | where InitiatingProcessFileName in~ ('winword.exe','excel.exe','outlook.exe') | where FileName == 'powershell.exe' | where ProcessCommandLine has '-enc'"
},
"schedule": {
"frequency": "PT1H"
},
"detectionAction": {
"alertTemplate": {
"title": "Suspicious encoded PowerShell from Office",
"description": "An Office app launched an encoded PowerShell command, which may indicate phishing-driven code execution.",
"severity": "high",
"recommendedActions": "Investigate the parent Office document, isolate the device, and review the user's recent email activity.",
"entityMappings": {
"accounts": [
{
"nameColumn": "AccountName",
"sidColumn": "AccountSid"
}
]
},
"tactics": [
{
"tactic": "Execution",
"techniques": [
{
"technique": "T1059.001"
}
]
}
]
},
"automatedActions": {
"isolateDevices": [
{
"deviceIdColumn": "DeviceId",
"isolationType": "full"
}
],
"initiateInvestigations": [
{
"deviceIdColumn": "DeviceId"
}
]
}
}
}