Répertorier les objets detectionRule

Espace de noms : microsoft.graph.security

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Obtenez la liste des objets detectionRule et leurs propriétés.

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) CustomDetection.Read.All CustomDetection.ReadWrite.All
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application CustomDetection.Read.All CustomDetection.ReadWrite.All

Importante

Pour l’accès délégué à l’aide de comptes professionnels ou scolaires, l’utilisateur connecté doit se voir attribuer un rôle qui accorde les autorisations requises pour cette opération. Les règles de détection personnalisées utilisent le modèle de contrôle d’accès en fonction du rôle (RBAC) Microsoft Defender XDR unifié. Les rôles Microsoft Entra suivants sont pris en charge :

  • Lecteur de sécurité
  • Lecteur global
  • Opérateur de sécurité
  • Administrateur de la sécurité

Des autorisations de lecture supplémentaires spécifiques à la charge de travail peuvent être nécessaires pour afficher les règles qui ciblent les données de charges de travail Defender spécifiques (par exemple, Defender pour point de terminaison, Defender pour Office 365). Pour plus d’informations, consultez Microsoft Defender XDR RBAC unifié.

Requête HTTP

GET /security/rules/detectionRules

Paramètres facultatifs de la requête

Cette méthode prend en charge les $selectparamètres de requête , $skip$count$top, , $filter, et$orderby OData pour vous aider à personnaliser la réponse. Pour obtenir la liste par propriété des opérateurs et $orderby propriétés pris en charge$filter, consultez propriétés detectionRule.

En-têtes de demande

Nom Description
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un 200 OK code de réponse et une collection d’objets microsoft.graph.security.detectionRule dans le corps de la réponse.

Exemples

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/beta/security/rules/detectionRules

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
      "@odata.type": "#microsoft.graph.security.detectionRule",
      "id": "office-encoded-powershell",
      "displayName": "Suspicious encoded PowerShell from Office",
      "description": "Detects encoded PowerShell processes launched by Office applications, a common phishing payload pattern.",
      "status": "enabled",
      "createdBy": "alice@contoso.com",
      "createdDateTime": "2026-05-25T10:15:00Z",
      "lastModifiedBy": "alice@contoso.com",
      "lastModifiedDateTime": "2026-05-25T10:15:00Z",
      "queryCondition": {
        "queryText": "DeviceProcessEvents | where InitiatingProcessFileName in~ ('winword.exe','excel.exe','outlook.exe') | where FileName == 'powershell.exe' | where ProcessCommandLine has '-enc'"
      },
      "schedule": {
        "frequency": "PT1H"
      },
      "detectionAction": {
        "alertTemplate": {
          "title": "Suspicious encoded PowerShell from Office",
          "description": "An Office app launched an encoded PowerShell command, which may indicate phishing-driven code execution.",
          "severity": "high",
          "recommendedActions": "Investigate the parent Office document, isolate the device, and review the user's recent email activity.",
          "entityMappings": {
            "accounts": [
              {
                "nameColumn": "AccountName",
                "sidColumn": "AccountSid"
              }
            ]
          },
          "tactics": [
            {
              "tactic": "Execution",
              "techniques": [
                {
                  "technique": "T1059.001"
                }
              ]
            }
          ]
        },
        "automatedActions": {
          "isolateDevices": [
            {
              "deviceIdColumn": "DeviceId",
              "isolationType": "full"
            }
          ],
          "initiateInvestigations": [
            {
              "deviceIdColumn": "DeviceId"
            }
          ]
        }
      }
    }
  ]
}