Partager via


Exporter et importer des règles analytiques vers et depuis des modèles ARM

Important

Introduction

Vous pouvez désormais exporter vos règles d’analyse vers des fichiers de modèle Azure Resource Manager (ARM) et importer des règles à partir de ces fichiers dans le cadre de la gestion et du contrôle de vos déploiements Microsoft Sentinel en tant que code. L’action d’exportation crée un fichier JSON (nommé Azure_Sentinel_analytic_rule.json) dans l’emplacement de téléchargement de votre navigateur, que vous pouvez ensuite renommer, déplacer et gérer comme tout autre fichier.

Puisque le fichier JSON exporté est indépendant de l’espace de travail, il peut être importé dans d’autres espaces de travail, voire d’autres locataires. En tant que code, il peut également être contrôlé par version, mis à jour et déployé dans une infrastructure CI/CD managée.

Le fichier comprend tous les paramètres définis dans la règle analytique. Par conséquent, pour les règles planifiées, il comprend la requête sous-jacente et les paramètres de planification qui l’accompagnent, la gravité, la création d’incident, les paramètres de regroupement d’événement et d’alerte, les tactiques MITRE ATT&CK attribuées et bien plus encore. Tout type de règle analytique, pas uniquement les règles planifiées, peut être exporté vers un fichier JSON.

Exporter des règles

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Analyse.

  2. Sélectionnez la règle que vous souhaitez exporter, puis cliquez sur Exporter dans la barre en haut de l’écran.

    Exporter des règles analytiques

    Notes

    • Vous pouvez sélectionner plusieurs règles analytiques à la fois pour l’exportation en cochant les cases en regard des règles et en cliquant sur Exporter à la fin.

    • Vous pouvez exporter toutes les règles sur une seule page de la grille d’affichage en une fois en cochant la case dans la ligne d’en-tête (en regard de GRAVITÉ) avant de cliquer sur Exporter. Toutefois, vous ne pouvez pas exporter plus d’une page complète de règles à la fois.

    • Notez que dans ce scénario, un seul fichier (nommé Azure_Sentinel_analytic_rules.json) est créé et contient du code JSON pour toutes les règles exportées.

Importer des règles

  1. Préparez un fichier JSON de modèle ARM de règle analytique.

  2. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Analyse.

  3. Cliquez sur Importer dans la barre en haut de l’écran. Dans la boîte de dialogue qui s’affiche, accédez au fichier JSON représentant la règle que vous souhaitez importer et sélectionnez-le, puis cliquez sur Ouvrir.

    Importer des règles analytiques

    Notes

    Vous pouvez importer jusqu’à 50 règles analytiques à partir d’un seul fichier de modèle ARM.

Étapes suivantes

Dans ce document, vous avez appris à exporter et importer des règles analytiques vers et à partir de modèles ARM.