type de ressource detectionRule

Espace de noms : microsoft.graph.security

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Représente une règle de détection personnalisée écrite dans Repérage avancé pour reconnaître automatiquement les événements de sécurité lorsqu’ils se produisent et déclencher des alertes et des actions de réponse.

Les règles de détection personnalisées vous permettent de surveiller de manière proactive différents événements et états système à l’aide de requêtes de repérage avancées , notamment les activités de violation présumée et les points de terminaison mal configurés. Une règle de détection personnalisée reconnaît automatiquement les événements de sécurité lorsqu’ils se produisent et déclenche des alertes et des actions de réponse. Vous pouvez définir les règles pour qu’elles s’exécutent à intervalles réguliers, en générant des alertes et en effectuant des actions de réponse chaque fois que des correspondances se produisent.

Hérite de l’entité.

Méthodes

Méthode Type de retour Description
List collection microsoft.graph.security.detectionRule Obtenez la liste des objets detectionRule et leurs propriétés.
Create microsoft.graph.security.detectionRule Créez un objet detectionRule .
Obtenir microsoft.graph.security.detectionRule Lisez les propriétés et les relations d’un objet detectionRule .
Mettre à jour microsoft.graph.security.detectionRule Mettez à jour les propriétés d’un objet detectionRule .
Supprimer Aucun Supprime un objet detectionRule .

Propriétés

Propriété Type Description
createdBy String Nom de l’utilisateur ou de l’application qui a créé la règle. En lecture seule. Prend en charge $filter (eq, ne, not, in, startsWith, endsWith, contains).
createdDateTime DateTimeOffset Horodatage de la création de la règle. En lecture seule. Prend en charge $filter (eq, ne, notle, ge, lt, , gt) et $orderby.
description String Description fournie par l’utilisateur de la règle de détection. Prend en charge $filter (eq, ne, not, in, startsWith, endsWith, contains).
displayName String Nom d’affichage de la règle. Prend en charge $filter (eq, ne, notin, startsWith, endsWith, , contains) et $orderby.
id String Identificateur unique de la règle. Hérité de l’entité. Prend en charge $filter (eq, ne, not, in) et $orderby.
lastModifiedBy String Nom de l’utilisateur ou de l’application qui a mis à jour la règle en dernier. En lecture seule. Prend en charge $filter (eq, ne, not, in, startsWith, endsWith, contains).
lastModifiedDateTime DateTimeOffset Horodatage de la dernière mise à jour de la règle. En lecture seule. Prend en charge $filter (eq, ne, notle, ge, lt, , gt) et $orderby.
queryCondition microsoft.graph.security.queryCondition Requête de repérage avancée qui définit la logique de détection de cette règle. Prend en charge $filter sur queryCondition/queryText (String) avec eq, ne, not, in, startsWith, , endsWith, , contains.
planifier microsoft.graph.security.ruleSchedule Planification de déclenchement de cette règle. Prend en charge $filter la planification/fréquence (Durée) avec eq, ne, not, le, ge, , lt. gt Prend en charge $orderby sur schedule/frequency et schedule/nextRunDateTime.
status microsoft.graph.security.detectionRuleStatus Exécution actuelle status de la règle. Les valeurs possibles sont : enabled, disabled, autoDisabled, unknownFutureValue. Prend en charge $filter (eq, ne, not, in) et $orderby.
detectorId (déconseillé) String Identificateur du détecteur interne. Déconseillé. Cette propriété sera supprimée de cette ressource le 2026-10-01.
isEnabled (déconseillé) Booléen Indique si la règle est activée pour le locataire. Prend en charge $filter (eq, ne, not). Déconseillé. Utilisez status à la place. Cette propriété sera supprimée de cette ressource le 2026-10-01.
detectionAction microsoft.graph.security.detectionAction Actions effectuées lorsqu’une détection est effectuée par cette règle, y compris l’alerte créée et toutes les actions de réponse automatisées. Prend en charge $filter sur les propriétés alertTemplate imbriquées suivantes :
  • Chaîne : detectionAction/alertTemplate/title, detectionAction/alertTemplate/description, detectionAction/alertTemplate/category, detectionAction/alertTemplate/recommendedActions — chacun prend en charge eq, ne, notin, startsWith, , endsWith. contains
  • Enum : detectionAction/alertTemplate/severity — prend en charge eq, ne, not, in.
  • lastRunDetails (déconseillé) microsoft.graph.security.runDetails Détails de l’exécution du runtime pour l’exécution de règle la plus récente. Prend en charge $filter sur les propriétés imbriquées suivantes :
  • String : lastRunDetails/failureReason — prend en charge eq, , nenot, in, startsWith, , endsWith, . contains
  • DateTimeOffset : lastRunDetails/lastRunDateTime — prend en charge eq, ne, not, le, ge, lt, , gt.
  • Enum : lastRunDetails/status, lastRunDetails/errorCode : chacun prend en charge eq, ne, not, in.
  • Déconseillé. Cette propriété sera supprimée de cette ressource le 2026-10-01. Les détails de l’exécution du runtime ne sont pas exposés dans l’API v1.0.

    Relations

    Aucun.

    Représentation JSON

    La représentation JSON suivante montre le type de ressource.

    {
      "@odata.type": "#microsoft.graph.security.detectionRule",
      "id": "String (identifier)",
      "displayName": "String",
      "description": "String",
      "status": "String",
      "createdBy": "String",
      "createdDateTime": "String (timestamp)",
      "lastModifiedBy": "String",
      "lastModifiedDateTime": "String (timestamp)",
      "queryCondition": {
        "@odata.type": "microsoft.graph.security.queryCondition"
      },
      "schedule": {
        "@odata.type": "microsoft.graph.security.ruleSchedule"
      },
      "detectionAction": {
        "@odata.type": "microsoft.graph.security.detectionAction"
      },
      "detectorId": "String",
      "isEnabled": "Boolean",
      "lastRunDetails": {
        "@odata.type": "microsoft.graph.security.runDetails"
      }
    }