Sdílet prostřednictvím


Export a import pravidel automatizace do a z šablon ARM

Spravujte pravidla automatizace Microsoft Sentinelu jako kód. Teď můžete exportovat pravidla automatizace do souborů šablon Azure Resource Manageru (ARM) a importovat pravidla z těchto souborů jako součást programu pro správu a řízení nasazení Microsoft Sentinelu jako kódu. Akce exportu vytvoří soubor JSON v umístění pro stahování prohlížeče, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor.

Exportovaný soubor JSON je nezávislý na pracovním prostoru, takže ho můžete importovat do jiných pracovních prostorů a dokonce i jiných tenantů. Jako kód se dá také řídit verzemi, aktualizovat a nasadit v rámci spravované architektury CI/CD.

Soubor obsahuje všechny parametry definované v pravidle automatizace. Pravidla libovolného typu triggeru je možné exportovat do souboru JSON.

V tomto článku se dozvíte, jak exportovat a importovat pravidla automatizace.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Export pravidel

  1. V navigační nabídce Microsoft Sentinelu vyberte Automation.

  2. Vyberte pravidlo (nebo pravidla – viz poznámka), které chcete exportovat, a v horní části obrazovky vyberte Exportovat .

    Snímek obrazovky znázorňující, jak exportovat pravidlo automatizace

    Najděte exportovaný soubor ve složce Stažené soubory. Má stejný název jako pravidlo automatizace s rozšířením .json.

    Poznámka:

    • Pro export můžete vybrat více pravidel automatizace najednou tak, že zaškrtnete políčka vedle pravidel a vyberete Exportovat na konci.

    • Všechna pravidla můžete exportovat na jedné stránce mřížky zobrazení najednou tak, že před kliknutím na Exportovat zaškrtnete políčko v řádku záhlaví. Nemůžete ale exportovat více než jednostráňové pravidla najednou.

    • V tomto scénáři se vytvoří jeden soubor (pojmenovaný Azure_Sentinel_automation_rules.json) a obsahuje kód JSON pro všechna exportovaná pravidla.

Pravidla importu

  1. Připravte soubor JSON šablony ARM pravidla automatizace.

  2. V navigační nabídce Microsoft Sentinelu vyberte Automation.

  3. V horní části obrazovky vyberte Importovat z panelu. Ve výsledném dialogovém okně přejděte na soubor JSON představující pravidlo, které chcete importovat, a vyberte Otevřít.

    Snímek obrazovky znázorňující, jak importovat pravidlo automatizace

    Poznámka:

    Z jednoho souboru šablony ARM můžete importovat až 50 pravidel automatizace.

Řešení problému

Pokud máte problémy s importem exportovaného pravidla automatizace, projděte si následující tabulku.

Chování (s chybou) Důvod Navrhovaná akce
Importované pravidlo automatizace je zakázané.
-and-
Podmínka analytického pravidla pravidla zobrazuje neznámé pravidlo.
Pravidlo obsahuje podmínku, která odkazuje na analytické pravidlo, které v cílovém pracovním prostoru neexistuje.
  1. Exportujte odkazované analytické pravidlo z původního pracovního prostoru a naimportujte ho do cílového.
  2. Upravte pravidlo automatizace v cílovém pracovním prostoru a v rozevíracím seznamu vyberte právě přítomné analytické pravidlo.
  3. Povolte pravidlo automatizace.
Importované pravidlo automatizace je zakázané.
-and-
Podmínka vlastního klíče podrobností pravidla zobrazuje "Neznámý vlastní klíč podrobností"
Pravidlo obsahuje podmínku, která odkazuje na vlastní klíč podrobností, který není definován v žádném analytickém pravidlu v cílovém pracovním prostoru.
  1. Exportujte odkazované analytické pravidlo z původního pracovního prostoru a naimportujte ho do cílového.
  2. Upravte pravidlo automatizace v cílovém pracovním prostoru a v rozevíracím seznamu vyberte právě přítomné analytické pravidlo.
  3. Povolte pravidlo automatizace.
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: "Pravidla automatizace se nepodařilo nasadit".
Podrobnosti o nasazení obsahují důvody uvedené v dalším sloupci pro selhání.
Playbook byl přesunut.
-nebo-
Playbook byl odstraněn.
-nebo-
Cílový pracovní prostor nemá přístup k playbooku.
Ujistěte se, že playbook existuje a že cílový pracovní prostor má správný přístup ke skupině prostředků, která obsahuje playbook.
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou: "Pravidla automatizace se nepodařilo nasadit".
Podrobnosti o nasazení obsahují důvody uvedené v dalším sloupci pro selhání .
Pravidlo automatizace bylo po importu před definovaným datem vypršení platnosti. Pokud chcete, aby pravidlo zůstalo v původním pracovním prostoru prošlé:
  1. Upravte soubor JSON, který představuje exportované pravidlo automatizace.
  2. Najděte datum vypršení platnosti (které se zobrazí hned za řetězcem "expirationTimeUtc":) a nahraďte ho novým datem vypršení platnosti (v budoucnu).
  3. Uložte soubor a znovu ho naimportujte do cílového pracovního prostoru.
Pokud chcete, aby se pravidlo vrátilo do aktivního stavu v původním pracovním prostoru:
  1. Upravte pravidlo automatizace v původním pracovním prostoru a změňte datum vypršení platnosti na datum v budoucnu.
  2. Znovu vyexportujte pravidlo z původního pracovního prostoru.
  3. Naimportujte nově exportovanou verzi do cílového pracovního prostoru.
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou:
Soubor JSON, který jste se pokusili importovat, má neplatný formát. Zkontrolujte prosím soubor a zkuste to znovu."
Importovaný soubor není platný soubor JSON. Zkontrolujte problémy v souboru a zkuste to znovu. Nejlepších výsledků dosáhnete tak, že původní pravidlo znovu exportujete do nového souboru a pak import zkuste znovu.
Nasazení v cílovém pracovním prostoru selhalo s chybovou zprávou:
V souboru nebyly nalezeny žádné prostředky. Ujistěte se, že soubor obsahuje prostředky nasazení, a zkuste to znovu."
Seznam prostředků v klíči "resources" v souboru JSON je prázdný. Zkontrolujte problémy v souboru a zkuste to znovu. Nejlepších výsledků dosáhnete tak, že původní pravidlo znovu exportujete do nového souboru a pak import zkuste znovu.

Další kroky

V tomto dokumentu jste zjistili, jak exportovat a importovat pravidla automatizace do a z šablon ARM.

  • Přečtěte si další informace opravidlech
  • Přečtěte si další informace o šablonách ARM.