Export a import pravidel automatizace do a z šablon ARM
Spravujte pravidla automatizace Microsoft Sentinelu jako kód. Teď můžete exportovat pravidla automatizace do souborů šablon Azure Resource Manageru (ARM) a importovat pravidla z těchto souborů jako součást programu pro správu a řízení nasazení Microsoft Sentinelu jako kódu. Akce exportu vytvoří soubor JSON v umístění pro stahování prohlížeče, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor.
Exportovaný soubor JSON je nezávislý na pracovním prostoru, takže ho můžete importovat do jiných pracovních prostorů a dokonce i jiných tenantů. Jako kód se dá také řídit verzemi, aktualizovat a nasadit v rámci spravované architektury CI/CD.
Soubor obsahuje všechny parametry definované v pravidle automatizace. Pravidla libovolného typu triggeru je možné exportovat do souboru JSON.
V tomto článku se dozvíte, jak exportovat a importovat pravidla automatizace.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Export pravidel
V navigační nabídce Microsoft Sentinelu vyberte Automation.
Vyberte pravidlo (nebo pravidla – viz poznámka), které chcete exportovat, a v horní části obrazovky vyberte Exportovat .
Najděte exportovaný soubor ve složce Stažené soubory. Má stejný název jako pravidlo automatizace s rozšířením .json.
Poznámka:
Pro export můžete vybrat více pravidel automatizace najednou tak, že zaškrtnete políčka vedle pravidel a vyberete Exportovat na konci.
Všechna pravidla můžete exportovat na jedné stránce mřížky zobrazení najednou tak, že před kliknutím na Exportovat zaškrtnete políčko v řádku záhlaví. Nemůžete ale exportovat více než jednostráňové pravidla najednou.
V tomto scénáři se vytvoří jeden soubor (pojmenovaný Azure_Sentinel_automation_rules.json) a obsahuje kód JSON pro všechna exportovaná pravidla.
Pravidla importu
Připravte soubor JSON šablony ARM pravidla automatizace.
V navigační nabídce Microsoft Sentinelu vyberte Automation.
V horní části obrazovky vyberte Importovat z panelu. Ve výsledném dialogovém okně přejděte na soubor JSON představující pravidlo, které chcete importovat, a vyberte Otevřít.
Poznámka:
Z jednoho souboru šablony ARM můžete importovat až 50 pravidel automatizace.
Řešení problému
Pokud máte problémy s importem exportovaného pravidla automatizace, projděte si následující tabulku.
Chování (s chybou) | Důvod | Navrhovaná akce |
---|---|---|
Importované pravidlo automatizace je zakázané. -and- Podmínka analytického pravidla pravidla zobrazuje neznámé pravidlo. |
Pravidlo obsahuje podmínku, která odkazuje na analytické pravidlo, které v cílovém pracovním prostoru neexistuje. |
|
Importované pravidlo automatizace je zakázané. -and- Podmínka vlastního klíče podrobností pravidla zobrazuje "Neznámý vlastní klíč podrobností" |
Pravidlo obsahuje podmínku, která odkazuje na vlastní klíč podrobností, který není definován v žádném analytickém pravidlu v cílovém pracovním prostoru. |
|
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: "Pravidla automatizace se nepodařilo nasadit". Podrobnosti o nasazení obsahují důvody uvedené v dalším sloupci pro selhání. |
Playbook byl přesunut. -nebo- Playbook byl odstraněn. -nebo- Cílový pracovní prostor nemá přístup k playbooku. |
Ujistěte se, že playbook existuje a že cílový pracovní prostor má správný přístup ke skupině prostředků, která obsahuje playbook. |
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: "Pravidla automatizace se nepodařilo nasadit". Podrobnosti o nasazení obsahují důvody uvedené v dalším sloupci pro selhání . |
Pravidlo automatizace bylo po importu před definovaným datem vypršení platnosti. | Pokud chcete, aby pravidlo zůstalo v původním pracovním prostoru prošlé:
|
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: Soubor JSON, který jste se pokusili importovat, má neplatný formát. Zkontrolujte prosím soubor a zkuste to znovu." |
Importovaný soubor není platný soubor JSON. | Zkontrolujte problémy v souboru a zkuste to znovu. Nejlepších výsledků dosáhnete tak, že původní pravidlo znovu exportujete do nového souboru a pak import zkuste znovu. |
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: V souboru nebyly nalezeny žádné prostředky. Ujistěte se, že soubor obsahuje prostředky nasazení, a zkuste to znovu." |
Seznam prostředků v klíči "resources" v souboru JSON je prázdný. | Zkontrolujte problémy v souboru a zkuste to znovu. Nejlepších výsledků dosáhnete tak, že původní pravidlo znovu exportujete do nového souboru a pak import zkuste znovu. |
Další kroky
V tomto dokumentu jste zjistili, jak exportovat a importovat pravidla automatizace do a z šablon ARM.
- Přečtěte si další informace opravidlech
- Přečtěte si další informace o šablonách ARM.