Obtención de detectionRule

Espacio de nombres: microsoft.graph.security

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Lea las propiedades y relaciones de un objeto detectionRule .

Con las detecciones personalizadas, puede supervisar y responder de forma proactiva a diversos eventos y estados del sistema, incluida la actividad de infracción sospechosa y los recursos mal configurados en la red de su organización. Las reglas de detección personalizadas, que se escriben en el lenguaje de consulta Kusto (KQL), desencadenan automáticamente alertas y acciones automatizadas cuando se producen eventos que coinciden con una consulta KQL.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) CustomDetection.Read.All CustomDetection.ReadWrite.All
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación CustomDetection.Read.All CustomDetection.ReadWrite.All

Importante

Para el acceso delegado mediante cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol que conceda los permisos necesarios para esta operación. Las reglas de detección personalizadas usan el modelo de control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR. Se admiten los siguientes roles de Microsoft Entra:

  • Lector de seguridad
  • Lector global
  • Operador de seguridad
  • Administrador de seguridad

Es posible que se necesiten permisos de lectura adicionales específicos de la carga de trabajo para ver las reglas que tienen como destino datos de cargas de trabajo específicas de Defender (por ejemplo, Defender para punto de conexión, Defender para Office 365). Para obtener más información, consulte Microsoft Defender XDR RBAC unificado.

Solicitud HTTP

GET /security/rules/detectionRules/{detectionRuleId}

Parámetros de consulta opcionales

Este método admite los Parámetros de consulta de OData a modo de ayuda para personalizar la respuesta. Para obtener información general, vea Parámetros de consulta OData.

Encabezados de solicitud

Nombre Descripción
Authorization {token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.

Cuerpo de la solicitud

No proporcione un cuerpo de solicitud para este método.

Respuesta

Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y un objeto microsoft.graph.security.detectionRule en el cuerpo de la respuesta.

Ejemplos

Solicitud

En el ejemplo siguiente se muestra la solicitud.

GET https://graph.microsoft.com/beta/security/rules/detectionRules/office-encoded-powershell

Respuesta

En el ejemplo siguiente se muestra la respuesta.

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.security.detectionRule",
  "id": "office-encoded-powershell",
  "displayName": "Suspicious encoded PowerShell from Office",
  "description": "Detects encoded PowerShell processes launched by Office applications, a common phishing payload pattern.",
  "status": "enabled",
  "createdBy": "alice@contoso.com",
  "createdDateTime": "2026-05-25T10:15:00Z",
  "lastModifiedBy": "alice@contoso.com",
  "lastModifiedDateTime": "2026-05-25T10:15:00Z",
  "queryCondition": {
    "queryText": "DeviceProcessEvents | where InitiatingProcessFileName in~ ('winword.exe','excel.exe','outlook.exe') | where FileName == 'powershell.exe' | where ProcessCommandLine has '-enc'"
  },
  "schedule": {
    "frequency": "PT1H"
  },
  "detectionAction": {
    "alertTemplate": {
      "title": "Suspicious encoded PowerShell from Office",
      "description": "An Office app launched an encoded PowerShell command, which may indicate phishing-driven code execution.",
      "severity": "high",
      "recommendedActions": "Investigate the parent Office document, isolate the device, and review the user's recent email activity.",
      "entityMappings": {
        "accounts": [
          {
            "nameColumn": "AccountName",
            "sidColumn": "AccountSid"
          }
        ]
      },
      "tactics": [
        {
          "tactic": "Execution",
          "techniques": [
            {
              "technique": "T1059.001"
            }
          ]
        }
      ]
    },
    "automatedActions": {
      "isolateDevices": [
        {
          "deviceIdColumn": "DeviceId",
          "isolationType": "full"
        }
      ],
      "initiateInvestigations": [
        {
          "deviceIdColumn": "DeviceId"
        }
      ]
    }
  }
}