Auflisten von detectionRule-Objekten

Namespace: microsoft.graph.security

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Rufen Sie eine Liste der detectionRule-Objekte und deren Eigenschaften ab.

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) CustomDetection.Read.All CustomDetection.ReadWrite.All
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Application CustomDetection.Read.All CustomDetection.ReadWrite.All

Wichtig

Für den delegierten Zugriff mithilfe von Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine Rolle zugewiesen werden, die die für diesen Vorgang erforderlichen Berechtigungen gewährt. Benutzerdefinierte Erkennungsregeln verwenden das Microsoft Defender XDR RBAC-Modell (Unified Role-Based Access Control, rollenbasierte Zugriffssteuerung). Die folgenden Microsoft Entra Rollen werden unterstützt:

  • Sicherheitsleseberechtigter
  • Globaler Reader
  • Sicherheitsoperator
  • Sicherheitsadministrator

Möglicherweise sind zusätzliche workloadspezifische Leseberechtigungen erforderlich, um Regeln anzuzeigen, die auf Daten aus bestimmten Defender-Workloads abzielen (z. B. Defender für Endpunkt, Defender für Office 365). Weitere Informationen finden Sie unter Microsoft Defender XDR Unified RBAC.

HTTP-Anforderung

GET /security/rules/detectionRules

Optionale Abfrageparameter

Diese Methode unterstützt die $selectOData-Abfrageparameter , $top$count$skip, , $filterund $orderby , um die Antwort anzupassen. Die Liste der unterstützten $filter Operatoren und $orderby Eigenschaften pro Eigenschaft finden Sie unter detectionRule-Eigenschaften.

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.

Anforderungstext

Geben Sie keinen Anforderungstext für diese Methode an.

Antwort

Wenn die Methode erfolgreich verläuft, werden der 200 OK Antwortcode und eine Sammlung von microsoft.graph.security.detectionRule-Objekten im Antworttext zurückgegeben.

Beispiele

Anforderung

Das folgende Beispiel zeigt eine Anfrage.

GET https://graph.microsoft.com/beta/security/rules/detectionRules

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
      "@odata.type": "#microsoft.graph.security.detectionRule",
      "id": "office-encoded-powershell",
      "displayName": "Suspicious encoded PowerShell from Office",
      "description": "Detects encoded PowerShell processes launched by Office applications, a common phishing payload pattern.",
      "status": "enabled",
      "createdBy": "alice@contoso.com",
      "createdDateTime": "2026-05-25T10:15:00Z",
      "lastModifiedBy": "alice@contoso.com",
      "lastModifiedDateTime": "2026-05-25T10:15:00Z",
      "queryCondition": {
        "queryText": "DeviceProcessEvents | where InitiatingProcessFileName in~ ('winword.exe','excel.exe','outlook.exe') | where FileName == 'powershell.exe' | where ProcessCommandLine has '-enc'"
      },
      "schedule": {
        "frequency": "PT1H"
      },
      "detectionAction": {
        "alertTemplate": {
          "title": "Suspicious encoded PowerShell from Office",
          "description": "An Office app launched an encoded PowerShell command, which may indicate phishing-driven code execution.",
          "severity": "high",
          "recommendedActions": "Investigate the parent Office document, isolate the device, and review the user's recent email activity.",
          "entityMappings": {
            "accounts": [
              {
                "nameColumn": "AccountName",
                "sidColumn": "AccountSid"
              }
            ]
          },
          "tactics": [
            {
              "tactic": "Execution",
              "techniques": [
                {
                  "technique": "T1059.001"
                }
              ]
            }
          ]
        },
        "automatedActions": {
          "isolateDevices": [
            {
              "deviceIdColumn": "DeviceId",
              "isolationType": "full"
            }
          ],
          "initiateInvestigations": [
            {
              "deviceIdColumn": "DeviceId"
            }
          ]
        }
      }
    }
  ]
}