Exportación e importación de reglas de automatización hacia y desde plantillas de ARM
Administre las reglas de automatización de Microsoft Sentinel como código. Ahora puede exportar las reglas de automatización a los archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos, como parte del programa para administrar y controlar las implementaciones de Microsoft Sentinel como código. La acción de exportación creará un archivo JSON en la ubicación de descargas del explorador, que luego puede renombrar, mover y controlar de otra manera, como cualquier otro archivo.
El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.
El archivo incluye todos los parámetros definidos en la regla de automatización. Las reglas de cualquier tipo de desencadenador se pueden exportar a un archivo JSON.
En este artículo se muestra cómo exportar e importar reglas de automatización.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Exportación de reglas
En el menú de navegación de Microsoft Azure Sentinel, seleccione Automation (Automatización).
Seleccione la regla (o reglas) que desea exportar y seleccione Exportar en la barra de la parte superior de la pantalla.
Busque el archivo exportado en la carpeta Descargas. Tiene el mismo nombre que la regla de automatización, con una extensión .json.
Nota:
Puede seleccionar varias reglas de automatización a la vez para la exportación marcando las casillas situadas junto a las reglas y seleccionando Exportar al final.
Puede exportar todas las reglas de una sola página de la cuadrícula de presentación a la vez marcando la casilla de la fila de encabezado antes de hacer clic en Exportar. Sin embargo, no se pueden exportar más reglas que las de una página a la vez.
En este escenario, se crea un único archivo (denominado Azure_Sentinel_automation_rules.json) y contiene código JSON para todas las reglas exportadas.
Importación de reglas
Tener un archivo JSON de plantilla de ARM de regla de automatización listo.
En el menú de navegación de Microsoft Azure Sentinel, seleccione Automation (Automatización).
Seleccione Importar en la barra de la parte superior de la pantalla. En el cuadro de diálogo resultante, vaya al archivo JSON que representa la regla que quiere importar y selecciónelo; a continuación, seleccione Abrir.
Nota:
Puede importar hasta 50 reglas de automatización desde un único archivo de plantilla de ARM.
Solución de problemas
Si tiene algún problema al importar una regla de automatización exportada, consulte la tabla siguiente.
| Comportamiento (con error) | Motivo | Acción sugerida |
|---|---|---|
| La regla de automatización importada está deshabilitada -and- La condición de regla de análisis de la regla muestra "Regla desconocida" |
La regla contiene una condición que hace referencia a una regla de análisis que no existe en el área de trabajo de destino. |
|
| La regla de automatización importada está deshabilitada -and- La condición clave de detalles personalizada de la regla muestra "Clave de detalles personalizada desconocida" |
La regla contiene una condición que hace referencia a una clave de detalles personalizada que no está definida en ninguna regla de análisis del área de trabajo de destino. |
|
| Error de implementación en el área de trabajo de destino, con un mensaje de error: "No se pudieron implementar las reglas de automatización". Los detalles de implementación contienen los motivos enumerados en la siguiente columna para el error. |
El cuaderno de estrategias se movió. -or- El cuaderno de estrategias se eliminó. -or- El área de trabajo de destino no tiene acceso al cuaderno de estrategias. |
Asegúrese de que el cuaderno de estrategias existe y de que el área de trabajo de destino tenga el acceso adecuado al grupo de recursos que contiene el cuaderno de estrategias. |
| Error de implementación en el área de trabajo de destino, con un mensaje de error: "No se pudieron implementar las reglas de automatización". Los detalles de implementación contienen los motivos enumerados en la siguiente columna para el error . |
La regla de automatización superó su fecha de expiración definida al importarla. | Si desea que la regla permanezca expirada en su área de trabajo original:
|
| Error de implementación en el área de trabajo de destino, con el mensaje de error: "El archivo JSON que intentó importar tiene un formato no válido. Compruebe el archivo e inténtelo de nuevo". |
El archivo importado no es un archivo JSON válido. | Compruebe el archivo para ver si hay problemas e inténtelo de nuevo. Para obtener los mejores resultados, vuelva a exportar la regla original a un nuevo archivo y vuelva a intentar la importación. |
| Error de implementación en el área de trabajo de destino, con el mensaje de error: "No se encontraron recursos en el archivo. Asegúrese de que el archivo contiene recursos de implementación e inténtelo de nuevo". |
La lista de recursos de la clave "resources" del archivo JSON está vacía. | Compruebe el archivo para ver si hay problemas e inténtelo de nuevo. Para obtener los mejores resultados, vuelva a exportar la regla original a un nuevo archivo y vuelva a intentar la importación. |
Pasos siguientes
En este documento, ha aprendido a exportar e importar reglas de automatización hacia y desde plantillas de ARM.
- Obtenga más información sobre las reglas de automatización y cómo crearlas y trabajar con ellas.
- Más información sobre plantillas de ARM.