Создание оповещения в Sentinel с помощью REST API (график) для Azure Sentinel

Question

Я просматривал API оповещений для Microsoft Security Graph , и кажется, что вы не можете создать новое оповещение с помощью API? Мне было интересно, могу ли я в любом случае программно создать новое оповещение в Azure Sentinel?

Answer 1

В настоящее время существует SENTINEL REST API, с которым вы можете программно взаимодействовать с Azure Sentinel, см. Ниже (спецификации Swagger 2.0, в превью)

https://github.com/Azure/azure-rest-api-specs/blob/master/specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2019-01-01-preview/SecurityInsights.json

Для создания / обновления нового инцидента см. Пример: https://github.com/Azure/azure-rest-api-specs/blob/master/specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2019-01-01-preview/examples/incidents/CreateIncident.json

Для создания запланированного правила оповещения: https://github.com/Azure/azure-rest-api-specs/blob/master/specification/securityinsights/resource-manager/Microsoft.SecurityInsights/preview/2019-01-01-preview/examples/alertRules/CreateScheduledAlertRule.json

Надеюсь, это поможет, я предполагаю, что под "предупреждением" вы подразумеваете инцидент.

Answer 2

Предупреждения безопасности предоставляются поставщиками безопасности Microsoft, поэтому создание предупреждений в настоящее время запрещено Microsoft Graph Security. Однако вы можете создавать инциденты из предупреждений в Azure Sentinel. Пожалуйста, обратитесь к этой документации .