Freigeben über

Exportieren und Importieren von Automatisierungsregeln in und aus ARM-Vorlagen

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Verwalten Sie Ihre Microsoft Sentinel-Automatisierungsregeln als Code! Sie können jetzt Ihre Automatisierungsregeln innerhalb Ihres Programms in ARM-Vorlagendateien (Azure Resource Manager) exportieren und Regeln aus diesen Dateien importieren, um Ihre Microsoft Sentinel-Bereitstellungen als Code zu verwalten und zu steuern. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und auch sonst wie jede andere Datei behandeln können.

Die exportierte JSON-Datei ist arbeitsbereichsunabhängig, sodass sie in andere Arbeitsbereiche und sogar andere Mandanten importiert werden kann. Als Code kann sie außerdem versionskontrolliert, aktualisiert und in einem verwalteten CI/CD-Framework bereitgestellt werden.

Die Datei enthält alle Parameter, die in der Automatisierungsregel definiert sind. Es können Regeln beliebiger Triggertypen in eine JSON-Datei exportiert werden.

In diesem Artikel erfahren Sie, wie Sie Automatisierungsregeln exportieren und importieren.

Wichtig

Microsoft Sentinel ist auf der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Preview ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Exportieren von Regeln

  1. Wählen Sie im Navigationsmenü Microsoft Sentinel die Option Automatisierung aus.

  2. Wählen Sie die Regel (oder Regeln, siehe Hinweis) aus, die Sie exportieren möchten, und wählen Sie in der Leiste am oberen Bildschirmrand Exportieren aus.

    Screenshot: Exportieren einer Automatisierungsregel.

    Suchen Sie die exportierte Datei im Ordner „Downloads“. Sie hat denselben Namen wie die Automatisierungsregel mit der Erweiterung .json.

    Hinweis

    • Sie können mehrere Automatisierungsregeln gleichzeitig für den Export auswählen, indem Sie die Kontrollkästchen neben den Regeln markieren und am Ende Exportieren auswählen.

    • Sie können alle Regeln auf einer einzelnen Seite des Anzeigerasters gleichzeitig exportieren, indem Sie das Kontrollkästchen in der Kopfzeile markieren, bevor Sie auf Exportieren klicken. Das gleichzeitige Exportieren von Regeln auf verschiedenen Seiten ist jedoch nicht möglich.

    • In diesem Szenario wird eine einzelne Datei (mit dem Namen Azure_Sentinel_automation_rules.json) erstellt, die JSON-Code für alle exportierten Regeln enthält.

Importieren von Regeln

  1. Bereiten Sie eine ARM-Vorlagen-JSON-Datei für die Automatisierungsregel vor.

  2. Wählen Sie im Navigationsmenü Microsoft Sentinel die Option Automatisierung aus.

  3. Wählen Sie in der Leiste am oberen Bildschirmrand Importieren aus. Navigieren Sie im daraufhin angezeigten Dialogfeld zu der JSON-Datei mit der Regel, die Sie importieren möchten, und wählen Sie Öffnen aus.

    Screenshot: Importieren einer Automatisierungsregel.

    Hinweis

    Sie können bis zu 50 Automatisierungsregeln aus einer einzelnen ARM-Vorlagendatei importieren.

Problembehandlung

Wenn beim Importieren einer exportierten Automatisierungsregel Probleme auftreten, finden Sie weitere Informationen in der nachfolgenden Tabelle.

Verhalten (mit Fehler) Ursache Vorgeschlagene Maßnahme
Die importierte Automatisierungsregel ist deaktiviert
-und-
Die Bedingung Analyseregel der Regel zeigt „Unbekannte Regel“ an		 Die Regel enthält eine Bedingung, die auf eine Analyseregel verweist, die im Zielarbeitsbereich nicht vorhanden ist.
  1. Exportieren Sie die referenzierte Analyseregel aus dem ursprünglichen Arbeitsbereich und importieren Sie sie in das Ziel.
  2. Bearbeiten Sie die Automatisierungsregel im Zielarbeitsbereich und wählen Sie die jetzt vorhandene Analyseregel aus der Dropdownliste aus.
  3. Aktivieren Sie die Automatisierungsregel.
Die importierte Automatisierungsregel ist deaktiviert
-und-
Die Bedingung Benutzerdefinierter Detailschlüssel der Regel zeigt „Unbekannter benutzerdefinierter Detailschlüssel“ an		 Die Regel enthält eine Bedingung, die auf einen benutzerdefinierten Detailschlüssel verweist, der in keinen Analyseregeln im Zielarbeitsbereich definiert ist.
  1. Exportieren Sie die referenzierte Analyseregel aus dem ursprünglichen Arbeitsbereich und importieren Sie sie in das Ziel.
  2. Bearbeiten Sie die Automatisierungsregel im Zielarbeitsbereich und wählen Sie die jetzt vorhandene Analyseregel aus der Dropdownliste aus.
  3. Aktivieren Sie die Automatisierungsregel.
Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „Automatisierungsregeln konnten nicht bereitgestellt werden.
Die Bereitstellungsdetails enthalten in der nächsten Spalte die Gründe, warum die Bereitstellung fehlschlug.		 Das Playbook wurde verschoben.
-or-
Das Playbook wurde gelöscht.
-or-
Der Zielarbeitsbereich hat keinen Zugriff auf das Playbook.		 Stellen Sie sicher, dass das Playbook vorhanden ist und dass der Zielarbeitsbereich über den richtigen Zugriff auf die Ressourcengruppe verfügt, die das Playbook enthält.
Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „Automatisierungsregeln konnten nicht bereitgestellt werden.
Die Bereitstellungsdetails enthalten in der nächsten Spalte die Gründe, warum die Bereitstellung fehlschlug.		 Die Automatisierungsregel hat das definierte Ablaufdatum überschritten, als Sie sie importiert haben. Wenn die Regel im ursprünglichen Arbeitsbereich abgelaufen bleiben soll:
  1. Bearbeiten Sie die JSON-Datei, die die exportierte Automatisierungsregel darstellt.
  2. Suchen Sie das Ablaufdatum (das unmittelbar nach der Zeichenfolge "expirationTimeUtc": angezeigt wird), und ersetzen Sie es durch ein neues Ablaufdatum (in der Zukunft).
  3. Speichern Sie die Datei und importieren Sie sie erneut in den Zielarbeitsbereich.
Wenn die Regel im ursprünglichen Arbeitsbereich auf einen aktiven Status gesetzt werden soll:
  1. Bearbeiten Sie die Automatisierungsregel im ursprünglichen Arbeitsbereich und ändern Sie das Ablaufdatum in ein Datum in der Zukunft.
  2. Exportieren Sie die Regel erneut aus dem ursprünglichen Arbeitsbereich.
  3. Importieren Sie die neu exportierte Version in den Zielarbeitsbereich.
Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen:
Die JSON-Datei, die Sie importieren wollten, weist ein ungültiges Format auf. Überprüfen Sie die Datei und versuchen Sie es erneut.		 Die importierte Datei ist keine gültige JSON-Datei. Überprüfen Sie die Datei auf Probleme und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei und versuchen Sie dann erneut sie zu importieren.
Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen:
In der Datei wurden keine Ressourcen gefunden. Stellen Sie sicher, dass die Datei Ressourcen für die Bereitstellung enthält, und versuchen Sie es erneut.		 Die Liste der Ressourcen unter dem Schlüssel „resources“ in der JSON-Datei ist leer. Überprüfen Sie die Datei auf Probleme und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei und versuchen Sie dann erneut sie zu importieren.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Automatisierungsregeln in und aus ARM-Vorlagen exportieren und importieren.