命名空间:microsoft.graph.security
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
获取 detectionRule 对象及其属性的列表。
此 API 可用于以下国家级云部署。
| 全局服务 | 美国政府 L4 | 美国政府 L5 (DOD) | 由世纪互联运营的中国 |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
权限
为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考。
| 权限类型 | 最低特权权限 | 更高特权权限 |
|---|---|---|
| 委派(工作或学校帐户) | CustomDetection.Read.All | CustomDetection.ReadWrite.All |
| 委派(个人 Microsoft 帐户) | 不支持。 | 不支持。 |
| 应用程序 | CustomDetection.Read.All | CustomDetection.ReadWrite.All |
重要
对于使用工作或学校帐户的委派访问权限,必须为已登录用户分配授予此操作所需权限的角色。 自定义检测规则使用Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 模型。 支持以下Microsoft Entra角色:
- 安全信息读取者
- 全局读取器
- 安全操作员
- 安全管理员
可能需要其他特定于工作负载的读取权限才能查看特定 Defender 工作负载 (目标数据的规则,例如 Defender for Endpoint、Defender for Office 365) 。 有关详细信息,请参阅 Microsoft Defender XDR统一 RBAC。
HTTP 请求
GET /security/rules/detectionRules
可选的查询参数
此方法支持 $select、、$top、$skip、 $count$filter和 $orderbyOData 查询参数,以帮助自定义响应。 有关支持的 $filter 运算符和 $orderby 属性的每个属性列表,请参阅 detectionRule 属性。
请求标头
| 名称 | 说明 |
|---|---|
| Authorization | 持有者 {token}。 必填。 详细了解 身份验证和授权。 |
请求正文
请勿提供此方法的请求正文。
响应
如果成功,此方法在 200 OK 响应正文中返回响应代码和 microsoft.graph.security.detectionRule 对象的集合。
示例
请求
以下示例显示了一个请求。
GET https://graph.microsoft.com/beta/security/rules/detectionRules
响应
以下示例显示了相应的响应。
注意:为了提高可读性,可能缩短了此处显示的响应对象。
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"@odata.type": "#microsoft.graph.security.detectionRule",
"id": "office-encoded-powershell",
"displayName": "Suspicious encoded PowerShell from Office",
"description": "Detects encoded PowerShell processes launched by Office applications, a common phishing payload pattern.",
"status": "enabled",
"createdBy": "[email protected]",
"createdDateTime": "2026-05-25T10:15:00Z",
"lastModifiedBy": "[email protected]",
"lastModifiedDateTime": "2026-05-25T10:15:00Z",
"queryCondition": {
"queryText": "DeviceProcessEvents | where InitiatingProcessFileName in~ ('winword.exe','excel.exe','outlook.exe') | where FileName == 'powershell.exe' | where ProcessCommandLine has '-enc'"
},
"schedule": {
"frequency": "PT1H"
},
"detectionAction": {
"alertTemplate": {
"title": "Suspicious encoded PowerShell from Office",
"description": "An Office app launched an encoded PowerShell command, which may indicate phishing-driven code execution.",
"severity": "high",
"recommendedActions": "Investigate the parent Office document, isolate the device, and review the user's recent email activity.",
"entityMappings": {
"accounts": [
{
"nameColumn": "AccountName",
"sidColumn": "AccountSid"
}
]
},
"tactics": [
{
"tactic": "Execution",
"techniques": [
{
"technique": "T1059.001"
}
]
}
]
},
"automatedActions": {
"isolateDevices": [
{
"deviceIdColumn": "DeviceId",
"isolationType": "full"
}
],
"initiateInvestigations": [
{
"deviceIdColumn": "DeviceId"
}
]
}
}
}
]
}