Automation Rules - Get
自動化規則を取得します。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/automationRules/{automationRuleId}?api-version=2025-09-01URI パラメーター
| 名前 | / | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
automation
|
path | True |
string |
オートメーション ルール ID |
|
resource
|
path | True |
string minLength: 1maxLength: 90 |
リソース グループの名前。 名前は大文字と小文字が区別されます。 |
|
subscription
|
path | True |
string (uuid) |
ターゲット サブスクリプションの ID。 値は UUID である必要があります。 |
|
workspace
|
path | True |
string minLength: 1maxLength: 90 pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$ |
ワークスペースの名前。 |
|
api-version
|
query | True |
string minLength: 1 |
この操作に使用する API バージョン。 |
応答
| 名前 | 型 | 説明 |
|---|---|---|
| 200 OK |
わかりました |
|
| Other Status Codes |
操作が失敗した理由を説明するエラー応答。 |
セキュリティ
azure_auth
Azure Active Directory OAuth2 フロー
型:
oauth2
フロー:
implicit
Authorization URL (承認 URL):
https://login.microsoftonline.com/common/oauth2/authorize
スコープ
| 名前 | 説明 |
|---|---|
| user_impersonation | ユーザー アカウントを偽装する |
例
AutomationRules_Get
要求のサンプル
GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5?api-version=2025-09-01
応答のサンプル
{
"id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/automationRules/73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"name": "73e01a99-5cd7-4139-a149-9f2736ff2ab5",
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"type": "Microsoft.SecurityInsights/automationRules",
"properties": {
"displayName": "Suspicious user sign-in events",
"order": 1,
"triggeringLogic": {
"isEnabled": true,
"triggersOn": "Incidents",
"triggersWhen": "Created",
"conditions": [
{
"conditionType": "Property",
"conditionProperties": {
"propertyName": "IncidentRelatedAnalyticRuleIds",
"operator": "Contains",
"propertyValues": [
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/fab3d2d4-747f-46a7-8ef0-9c0be8112bf7",
"/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/alertRules/8deb8303-e94d-46ff-96e0-5fd94b33df1a"
]
}
}
]
},
"actions": [
{
"order": 1,
"actionType": "AddIncidentTask",
"actionConfiguration": {
"title": "Reset user passwords",
"description": "Reset passwords for compromised users."
}
}
],
"lastModifiedTimeUtc": "2019-01-01T13:00:30Z",
"createdTimeUtc": "2019-01-01T13:00:00Z",
"lastModifiedBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
},
"createdBy": {
"objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70",
"email": "john.doe@contoso.com",
"name": "john doe",
"userPrincipalName": "john@contoso.com"
}
}
}定義
ActionType
オートメーション ルール アクションの種類。
| 値 | 説明 |
|---|---|
| ModifyProperties |
オブジェクトのプロパティを変更する |
| RunPlaybook |
オブジェクトでプレイブックを実行する |
| AddIncidentTask |
インシデントオブジェクトへのタスクの追加 |
AddIncidentTaskActionProperties
インシデントにタスクを追加するオートメーション ルール アクションについて説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| description |
string |
タスクの説明。 |
| title |
string |
タスクのタイトル。 |
AutomationRule
| 名前 | 型 | 説明 |
|---|---|---|
| etag |
string |
Azure リソースの Etag |
| id |
string (arm-id) |
リソースの完全修飾リソース ID。 例: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}" |
| name |
string |
リソースの名前 |
| properties.actions | AutomationRuleAction[]: |
自動化ルールがトリガーされたときに実行するアクション。 |
| properties.createdBy |
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報 |
|
| properties.createdTimeUtc |
string (date-time) |
自動化ルールが作成された時刻。 |
| properties.displayName |
string maxLength: 500 |
自動化規則の表示名。 |
| properties.lastModifiedBy |
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報 |
|
| properties.lastModifiedTimeUtc |
string (date-time) |
自動化ルールが最後に更新された時刻。 |
| properties.order |
integer (int32) minimum: 1maximum: 1000 |
オートメーション ルールの実行順序。 |
| properties.triggeringLogic |
ロジックをトリガーするオートメーション ルールについて説明します。 |
|
| systemData |
createdBy および modifiedBy 情報を含む Azure Resource Manager メタデータ。 |
|
| type |
string |
リソースの型。 例: "Microsoft.Compute/virtualMachines" または "Microsoft.Storage/storageAccounts" |
AutomationRuleAddIncidentTaskAction
タスクをインシデントに追加するための自動化ルール アクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration |
インシデントにタスクを追加するオートメーション ルール アクションについて説明します。 |
|
| actionType |
string:
Add |
オートメーション ルール アクションの種類。 |
| order |
integer (int32) |
AutomationRuleBooleanCondition
ブール演算子を使用したオートメーション ルールの条件について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| innerConditions | AutomationRuleCondition[]: |
自動化ルールの条件について説明します。 |
| operator |
ブール条件演算子について説明します。 |
AutomationRuleBooleanConditionSupportedOperator
ブール条件演算子について説明します。
| 値 | 説明 |
|---|---|
| And |
すべての項目条件が true と評価された場合、true として評価されます。 |
| Or |
項目条件の少なくとも 1 つが true と評価された場合、true として評価されます |
AutomationRuleModifyPropertiesAction
オブジェクトのプロパティを変更するための自動化ルールアクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Modify |
オートメーション ルール アクションの種類。 |
| order |
integer (int32) |
AutomationRulePropertyArrayChangedConditionSupportedArrayType
| 値 | 説明 |
|---|---|
| Alerts |
アラートの状態を評価する |
| Labels |
ラベルの状態を評価する |
| Tactics |
戦術の条件を評価する |
| Comments |
コメントの条件を評価する |
AutomationRulePropertyArrayChangedConditionSupportedChangeType
| 値 | 説明 |
|---|---|
| Added |
配列に追加された項目の条件を評価する |
AutomationRulePropertyArrayChangedValuesCondition
| 名前 | 型 | 説明 |
|---|---|---|
| arrayType |
Automation |
|
| changeType |
Automation |
AutomationRulePropertyArrayConditionSupportedArrayConditionType
配列条件の評価型について説明します。
| 値 | 説明 |
|---|---|
| AnyItem |
いずれかの項目が条件を満たす場合、条件を true として評価します |
| AllItems |
すべての項目が条件を満たす場合、条件を true として評価します |
AutomationRulePropertyArrayConditionSupportedArrayType
配列条件で評価された配列型について説明します。
| 値 | 説明 |
|---|---|
| CustomDetails |
カスタム詳細キーの条件を評価する |
| CustomDetailValues |
カスタム詳細の値で条件を評価する |
AutomationRulePropertyArrayValuesCondition
配列プロパティのオートメーション ルール条件について説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| arrayConditionType |
Automation |
配列条件の評価型について説明します。 |
| arrayType |
配列条件で評価された配列型について説明します。 |
|
| itemConditions | AutomationRuleCondition[]: |
自動化ルールの条件について説明します。 |
AutomationRulePropertyChangedConditionSupportedChangedType
| 値 | 説明 |
|---|---|
| ChangedFrom |
プロパティの以前の値で条件を評価する |
| ChangedTo |
プロパティの更新された値で条件を評価する |
AutomationRulePropertyChangedConditionSupportedPropertyType
| 値 | 説明 |
|---|---|
| IncidentSeverity |
インシデントの重大度の状態を評価する |
| IncidentStatus |
インシデントの状態の状態を評価する |
| IncidentOwner |
インシデント所有者の状態を評価する |
AutomationRulePropertyConditionSupportedOperator
| 値 | 説明 |
|---|---|
| Equals |
プロパティが条件値の少なくとも 1 つに等しいかどうかを評価します |
| NotEquals |
プロパティが条件値のいずれとも等しくない場合を評価します |
| Contains |
プロパティに少なくとも 1 つの条件値が含まれているかどうかを評価します |
| NotContains |
プロパティに条件値が含まれていないかどうかを評価します |
| StartsWith |
プロパティがいずれかの条件値で始まるかどうかを評価します。 |
| NotStartsWith |
プロパティが条件値で始まっていないかどうかを評価します |
| EndsWith |
プロパティがいずれかの条件値で終わるかどうかを評価します |
| NotEndsWith |
プロパティが条件値で終わらないかどうかを評価します。 |
AutomationRulePropertyConditionSupportedProperty
オートメーション ルールのプロパティ条件で評価するプロパティ。
| 値 | 説明 |
|---|---|
| IncidentTitle |
インシデントのタイトル |
| IncidentDescription |
インシデントの説明 |
| IncidentSeverity |
インシデントの重大度 |
| IncidentStatus |
インシデントの状態 |
| IncidentRelatedAnalyticRuleIds |
インシデントの関連する分析ルール ID |
| IncidentTactics |
事件の戦術 |
| IncidentLabel |
インシデントのラベル |
| IncidentProviderName |
インシデントのプロバイダー名 |
| IncidentUpdatedBySource |
インシデントの更新元です |
| IncidentCustomDetailsKey |
インシデントカスタム詳細キー |
| IncidentCustomDetailsValue |
インシデントのカスタム詳細値 |
| AccountAadTenantId |
アカウント Azure Active Directory テナント ID |
| AccountAadUserId |
アカウント Azure Active Directory ユーザー ID |
| AccountName |
アカウント名 |
| AccountNTDomain |
アカウント NetBIOS ドメイン名 |
| AccountPUID |
アカウント Azure Active Directory Passport ユーザー ID |
| AccountSid |
アカウント セキュリティ識別子 |
| AccountObjectGuid |
アカウントの一意の識別子 |
| AccountUPNSuffix |
アカウント ユーザー プリンシパル名のサフィックス |
| AlertProductNames |
アラートの製品の名前 |
| AlertAnalyticRuleIds |
アラートの分析ルール ID |
| AzureResourceResourceId |
Azure リソース ID |
| AzureResourceSubscriptionId |
Azure リソース サブスクリプション ID |
| CloudApplicationAppId |
クラウドアプリケーション識別子 |
| CloudApplicationAppName |
クラウドアプリケーション名 |
| DNSDomainName |
dns レコードのドメイン名 |
| FileDirectory |
ファイルディレクトリのフルパス |
| FileName |
パスのないファイル名 |
| FileHashValue |
ファイルハッシュ値 |
| HostAzureID |
ホスト Azure リソース ID |
| HostName |
ドメインのないホスト名 |
| HostNetBiosName |
ホスト NetBIOS 名 |
| HostNTDomain |
ホストNTドメイン |
| HostOSVersion |
ホストオペレーティングシステム |
| IoTDeviceId |
「IoT デバイス ID |
| IoTDeviceName |
IoT デバイス名 |
| IoTDeviceType |
IoT デバイスの種類 |
| IoTDeviceVendor |
IoT デバイス ベンダー |
| IoTDeviceModel |
IoT デバイス モデル |
| IoTDeviceOperatingSystem |
IoT デバイスのオペレーティング システム |
| IPAddress |
IP アドレス |
| MailboxDisplayName |
メールボックスの表示名 |
| MailboxPrimaryAddress |
メールボックスのプライマリ アドレス |
| MailboxUPN |
メールボックス ユーザー プリンシパル名 |
| MailMessageDeliveryAction |
メール・メッセージ配信アクション |
| MailMessageDeliveryLocation |
メールメッセージの配信場所 |
| MailMessageRecipient |
メール メッセージの受信者 |
| MailMessageSenderIP |
メールメッセージ送信者の IP アドレス |
| MailMessageSubject |
メールメッセージの件名 |
| MailMessageP1Sender |
メール メッセージ P1 送信者 |
| MailMessageP2Sender |
メールメッセージ P2 送信者 |
| MalwareCategory |
マルウェアのカテゴリ |
| MalwareName |
マルウェア名 |
| ProcessCommandLine |
プロセス実行コマンドライン |
| ProcessId |
プロセス ID |
| RegistryKey |
レジストリ キー パス |
| RegistryValueData |
文字列形式の表現のレジストリ キー値 |
| Url |
URL |
AutomationRulePropertyValuesChangedCondition
| 名前 | 型 | 説明 |
|---|---|---|
| changeType | ||
| operator | ||
| propertyName | ||
| propertyValues |
string[] |
AutomationRulePropertyValuesCondition
| 名前 | 型 | 説明 |
|---|---|---|
| operator | ||
| propertyName |
オートメーション ルールのプロパティ条件で評価するプロパティ。 |
|
| propertyValues |
string[] |
AutomationRuleRunPlaybookAction
プレイブックを実行するための自動化ルールアクションについて説明します
| 名前 | 型 | 説明 |
|---|---|---|
| actionConfiguration | ||
| actionType |
string:
Run |
オートメーション ルール アクションの種類。 |
| order |
integer (int32) |
AutomationRuleTriggeringLogic
ロジックをトリガーするオートメーション ルールについて説明します。
| 名前 | 型 | 説明 |
|---|---|---|
| conditions | AutomationRuleCondition[]: |
特定のオブジェクトに対してオートメーション ルールをトリガーする必要があるかどうかを判断するために評価する条件。 |
| expirationTimeUtc |
string (date-time) |
自動化ルールの有効期限が自動的に切れ、無効になるタイミングを決定します。 |
| isEnabled |
boolean |
自動化ルールが有効か無効かを決定します。 |
| triggersOn | ||
| triggersWhen |
BooleanConditionProperties
ブール演算子 (AND、OR など) を条件に適用する自動化ルール条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties |
ブール演算子を使用したオートメーション ルールの条件について説明します。 |
|
| conditionType |
string:
Boolean |
ClientInfo
何らかのアクションを実行したクライアント (ユーザーまたはアプリケーション) に関する情報
| 名前 | 型 | 説明 |
|---|---|---|
|
string |
クライアントの電子メール。 |
|
| name |
string |
クライアントの名前。 |
| objectId |
string (uuid) |
クライアントのオブジェクト ID。 |
| userPrincipalName |
string |
クライアントのユーザー プリンシパル名。 |
CloudError
エラー応答構造。
| 名前 | 型 | 説明 |
|---|---|---|
| error |
エラーデータ |
CloudErrorBody
エラーの詳細。
| 名前 | 型 | 説明 |
|---|---|---|
| code |
string |
エラーの識別子。 コードは不変であり、プログラムで使用することを目的としています。 |
| message |
string |
ユーザー インターフェイスでの表示に適したエラーを説明するメッセージ。 |
ConditionType
| 値 | 説明 |
|---|---|
| Property |
オブジェクトのプロパティ値を評価する |
| PropertyArray |
オブジェクト配列のプロパティ値を評価する |
| PropertyChanged |
オブジェクト プロパティの変更値を評価する |
| PropertyArrayChanged |
オブジェクト配列プロパティの変更値を評価する |
| Boolean |
ブール演算子(AND、ORなど)を条件に適用する |
createdByType
リソースを作成した ID の種類。
| 値 | 説明 |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
IncidentClassification
インシデントが閉じられた理由
| 値 | 説明 |
|---|---|
| Undetermined |
インシデントの分類は未定でした |
| TruePositive |
インシデントは真陽性でした |
| BenignPositive |
事件は良性陽性でした |
| FalsePositive |
インシデントは誤検知でした |
IncidentClassificationReason
インシデントが閉じられた分類の理由
| 値 | 説明 |
|---|---|
| SuspiciousActivity |
分類理由は不審な活動でした |
| SuspiciousButExpected |
分類理由は疑わしいが予想 |
| IncorrectAlertLogic |
分類の理由は、アラート ロジックが正しくありませんでした |
| InaccurateData |
分類理由は不正確なデータでした |
IncidentLabel
インシデント ラベルを表します
| 名前 | 型 | 説明 |
|---|---|---|
| labelName |
string |
ラベルの名前 |
| labelType |
ラベルの種類 |
IncidentLabelType
ラベルの種類
| 値 | 説明 |
|---|---|
| User |
ユーザーが手動で作成したラベル |
| AutoAssigned |
システムによって自動的に作成されるラベル |
IncidentOwnerInfo
インシデントが割り当てられているユーザーに関する情報
| 名前 | 型 | 説明 |
|---|---|---|
| assignedTo |
string |
インシデントが割り当てられているユーザーの名前。 |
|
string |
インシデントが割り当てられているユーザーの電子メール。 |
|
| objectId |
string (uuid) |
インシデントが割り当てられているユーザーのオブジェクト ID。 |
| ownerType |
インシデントが割り当てられている所有者の種類。 |
|
| userPrincipalName |
string |
インシデントが割り当てられているユーザーのユーザー プリンシパル名。 |
IncidentPropertiesAction
| 名前 | 型 | 説明 |
|---|---|---|
| classification |
インシデントが閉じられた理由 |
|
| classificationComment |
string |
インシデントが閉じられた理由について説明します。 |
| classificationReason |
インシデントが閉じられた分類の理由 |
|
| labels |
インシデントに追加するラベルの一覧。 |
|
| owner |
インシデントが割り当てられているユーザーに関する情報 |
|
| severity |
インシデントの重大度 |
|
| status |
インシデントの状態 |
IncidentSeverity
インシデントの重大度
| 値 | 説明 |
|---|---|
| High |
高い重大度 |
| Medium |
重大度が中程度 |
| Low |
重大度が低い |
| Informational |
情報の重大度 |
IncidentStatus
インシデントの状態
| 値 | 説明 |
|---|---|
| New |
現在処理されていないアクティブなインシデント |
| Active |
処理中のアクティブなインシデント |
| Closed |
非アクティブなインシデント |
OwnerType
インシデントが割り当てられている所有者の種類。
| 値 | 説明 |
|---|---|
| Unknown |
インシデント所有者の種類が不明です |
| User |
インシデント所有者の種類は AAD ユーザーです |
| Group |
インシデント所有者の種類は AAD グループです |
PlaybookActionProperties
| 名前 | 型 | 説明 |
|---|---|---|
| logicAppResourceId |
string (arm-id) |
プレイブック リソースのリソース ID。 |
| tenantId |
string (uuid) |
プレイブック リソースのテナント ID。 |
PropertyArrayChangedConditionProperties
配列プロパティの値の変更を評価するオートメーション ルール条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyArrayConditionProperties
配列プロパティの値を評価するオートメーション ルール条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties |
配列プロパティのオートメーション ルール条件について説明します。 |
|
| conditionType |
string:
Property |
PropertyChangedConditionProperties
プロパティの値の変更を評価する自動化ルール条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
PropertyConditionProperties
プロパティの値を評価するオートメーション ルール条件について説明します
| 名前 | 型 | 説明 |
|---|---|---|
| conditionProperties | ||
| conditionType |
string:
Property |
systemData
リソースの作成と最後の変更に関連するメタデータ。
| 名前 | 型 | 説明 |
|---|---|---|
| createdAt |
string (date-time) |
リソース作成のタイムスタンプ (UTC)。 |
| createdBy |
string |
リソースを作成した ID。 |
| createdByType |
リソースを作成した ID の種類。 |
|
| lastModifiedAt |
string (date-time) |
リソースの最終変更のタイムスタンプ (UTC) |
| lastModifiedBy |
string |
リソースを最後に変更した ID。 |
| lastModifiedByType |
リソースを最後に変更した ID の種類。 |
triggersOn
| 値 | 説明 |
|---|---|
| Incidents |
インシデントのトリガー |
| Alerts |
アラートのトリガー |
triggersWhen
| 値 | 説明 |
|---|---|
| Created |
作成されたオブジェクトでトリガー |
| Updated |
更新されたオブジェクトでトリガー |