Exportieren und Importieren von Automatisierungsregeln in und aus ARM-Vorlagen
Verwalten Sie Ihre Microsoft Sentinel-Automatisierungsregeln als Code! Sie können jetzt Ihre Automatisierungsregeln innerhalb Ihres Programms in ARM-Vorlagendateien (Azure Resource Manager) exportieren und Regeln aus diesen Dateien importieren, um Ihre Microsoft Sentinel-Bereitstellungen als Code zu verwalten und zu steuern. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und auch sonst wie jede andere Datei behandeln können.
Die exportierte JSON-Datei ist arbeitsbereichsunabhängig, sodass sie in andere Arbeitsbereiche und sogar andere Mandanten importiert werden kann. Als Code kann sie außerdem versionskontrolliert, aktualisiert und in einem verwalteten CI/CD-Framework bereitgestellt werden.
Die Datei enthält alle Parameter, die in der Automatisierungsregel definiert sind. Es können Regeln beliebiger Triggertypen in eine JSON-Datei exportiert werden.
In diesem Artikel erfahren Sie, wie Sie Automatisierungsregeln exportieren und importieren.
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Exportieren von Regeln
Wählen Sie im Navigationsmenü Microsoft Sentinel die Option Automatisierung aus.
Wählen Sie die Regel (oder Regeln, siehe Hinweis) aus, die Sie exportieren möchten, und wählen Sie in der Leiste am oberen Bildschirmrand Exportieren aus.
Suchen Sie die exportierte Datei im Ordner „Downloads“. Sie hat denselben Namen wie die Automatisierungsregel mit der Erweiterung .json.
Hinweis
Sie können mehrere Automatisierungsregeln gleichzeitig für den Export auswählen, indem Sie die Kontrollkästchen neben den Regeln markieren und am Ende Exportieren auswählen.
Sie können alle Regeln auf einer einzelnen Seite des Anzeigerasters gleichzeitig exportieren, indem Sie das Kontrollkästchen in der Kopfzeile markieren, bevor Sie auf Exportieren klicken. Das gleichzeitige Exportieren von Regeln auf verschiedenen Seiten ist jedoch nicht möglich.
In diesem Szenario wird eine einzelne Datei (mit dem Namen Azure_Sentinel_automation_rules.json) erstellt, die JSON-Code für alle exportierten Regeln enthält.
Importieren von Regeln
Bereiten Sie eine ARM-Vorlagen-JSON-Datei für die Automatisierungsregel vor.
Wählen Sie im Navigationsmenü Microsoft Sentinel die Option Automatisierung aus.
Wählen Sie in der Leiste am oberen Bildschirmrand Importieren aus. Navigieren Sie im daraufhin angezeigten Dialogfeld zu der JSON-Datei mit der Regel, die Sie importieren möchten, und wählen Sie Öffnen aus.
Hinweis
Sie können bis zu 50 Automatisierungsregeln aus einer einzelnen ARM-Vorlagendatei importieren.
Problembehandlung
Wenn beim Importieren einer exportierten Automatisierungsregel Probleme auftreten, finden Sie weitere Informationen in der nachfolgenden Tabelle.
| Verhalten (mit Fehler) | Ursache | Vorgeschlagene Maßnahme |
|---|---|---|
| Die importierte Automatisierungsregel ist deaktiviert -und- Die Bedingung Analyseregel der Regel zeigt „Unbekannte Regel“ an |
Die Regel enthält eine Bedingung, die auf eine Analyseregel verweist, die im Zielarbeitsbereich nicht vorhanden ist. |
|
| Die importierte Automatisierungsregel ist deaktiviert -und- Die Bedingung Benutzerdefinierter Detailschlüssel der Regel zeigt „Unbekannter benutzerdefinierter Detailschlüssel“ an |
Die Regel enthält eine Bedingung, die auf einen benutzerdefinierten Detailschlüssel verweist, der in keinen Analyseregeln im Zielarbeitsbereich definiert ist. |
|
| Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „Automatisierungsregeln konnten nicht bereitgestellt werden.“ Die Bereitstellungsdetails enthalten in der nächsten Spalte die Gründe, warum die Bereitstellung fehlschlug. |
Das Playbook wurde verschoben. -or- Das Playbook wurde gelöscht. -or- Der Zielarbeitsbereich hat keinen Zugriff auf das Playbook. |
Stellen Sie sicher, dass das Playbook vorhanden ist und dass der Zielarbeitsbereich über den richtigen Zugriff auf die Ressourcengruppe verfügt, die das Playbook enthält. |
| Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „Automatisierungsregeln konnten nicht bereitgestellt werden.“ Die Bereitstellungsdetails enthalten in der nächsten Spalte die Gründe, warum die Bereitstellung fehlschlug. |
Die Automatisierungsregel hat das definierte Ablaufdatum überschritten, als Sie sie importiert haben. | Wenn die Regel im ursprünglichen Arbeitsbereich abgelaufen bleiben soll:
|
| Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „Die JSON-Datei, die Sie importieren wollten, weist ein ungültiges Format auf. Überprüfen Sie die Datei und versuchen Sie es erneut.“ |
Die importierte Datei ist keine gültige JSON-Datei. | Überprüfen Sie die Datei auf Probleme und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei und versuchen Sie dann erneut sie zu importieren. |
| Die Bereitstellung im Zielarbeitsbereich ist mit folgender Fehlermeldung fehlgeschlagen: „In der Datei wurden keine Ressourcen gefunden. Stellen Sie sicher, dass die Datei Ressourcen für die Bereitstellung enthält, und versuchen Sie es erneut.“ |
Die Liste der Ressourcen unter dem Schlüssel „resources“ in der JSON-Datei ist leer. | Überprüfen Sie die Datei auf Probleme und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei und versuchen Sie dann erneut sie zu importieren. |
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Automatisierungsregeln in und aus ARM-Vorlagen exportieren und importieren.
- Erfahren Sie mehr über Automatisierungsregeln und wie Sie diese erstellen und verwenden.
- Weitere Informationen zu ARM-Vorlagen finden Sie hier.