Esportare e importare regole di automazione da/verso modelli di ARM
Gestione delle regole di automazione di Microsoft Sentinel come codice. È ora possibile esportare le regole di automazione nei file modello di Azure Resource Manager (ARM) e importare regole da questi file, come parte del programma per gestire e controllare le distribuzioni di Microsoft Sentinel come codice. L'azione di esportazione crea un file JSON nel percorso di download del browser, che è quindi possibile rinominare, spostare e gestire in altro modo come qualsiasi altro file.
Il file JSON esportato è indipendente dall'area di lavoro, quindi può essere importato in altre aree di lavoro e anche in altri tenant. Come codice, può anche essere controllato dalla versione, aggiornato e distribuito in un framework CI/CD gestito.
Il file include tutti i parametri definiti nella regola di automazione. Le regole di qualsiasi tipo di trigger possono essere esportate in un file JSON.
Questo articolo illustra come esportare e importare regole di automazione.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Esportare regole
Nel menu di spostamento di Microsoft Sentinel, selezionare Automazione.
Selezionare la regola (o le regole, v. nota) che si vuole esportare, quindi selezionare Esporta dalla barra nella parte superiore della schermata.
Trovare il file esportato nella cartella Download. Ha lo stesso nome della regola di automazione, con un'estensione .json.
Nota
È possibile selezionare più regole di automazione alla volta per l'esportazione spuntando le caselle di controllo accanto alle regole e selezionando Esporta alla fine.
È possibile esportare tutte le regole in una singola pagina della griglia di visualizzazione contemporaneamente, spuntando la casella di controllo nella riga di intestazione prima di fare clic su Esporta. Tuttavia, non è possibile esportare più di una pagina di regole alla volta.
In questo scenario viene creato un singolo file (denominato Azure_Sentinel_automation_rules.json) che contiene codice JSON per tutte le regole esportate.
Importare regole
Approntare un file JSON del modello di ARM della regola di automazione.
Nel menu di spostamento di Microsoft Sentinel, selezionare Automazione.
Selezionare Importa dalla barra nella parte superiore della schermata. Nella finestra di dialogo risultante, selezionare il file JSON che rappresenta la regola da importare e selezionare Apri.
Nota
È possibile importare fino a 50 regole di automazione da un singolo file modello di ARM.
Risoluzione dei problemi
Se si verificano problemi durante l'importazione di una regola di automazione esportata, vedere la tabella seguente.
| Comportamento (con errore) | Motivo | Azione suggerita |
|---|---|---|
| La regola di automazione importata è disabilitata -e- La condizione regola di analisi della regola visualizza "Regola sconosciuta" |
La regola contiene una condizione che fa riferimento a una regola di analisi che non esiste nell'area di lavoro di destinazione. |
|
| La regola di automazione importata è disabilitata -e- La condizione chiave dettagli personalizzata della regola visualizza "Chiave dettagli personalizzata sconosciuta" |
La regola contiene una condizione che fa riferimento a una chiave dettagli personalizzata che non definita in alcuna regola di analisi nell'area di lavoro di destinazione. |
|
| Distribuzione non riuscita nell'area di lavoro di destinazione, con messaggio di errore: "La distribuzione delle regole di automazione non è riuscita". I dettagli della distribuzione contengono i motivi elencati nella colonna successiva per l'errore. |
Il playbook è stato spostato. -or- Il playbook è stato eliminato. -or- L'area di lavoro di destinazione non ha accesso al playbook. |
Assicurarsi che il playbook esista e che l'area di lavoro di destinazione disponga dell'accesso corretto al gruppo di risorse contenente il playbook. |
| Distribuzione non riuscita nell'area di lavoro di destinazione, con messaggio di errore: "La distribuzione delle regole di automazione non è riuscita". I dettagli della distribuzione contengono i motivi elencati nella colonna successiva per l'errore. |
La regola di automazione ha superato la data di scadenza definita al momento dell'importazione. | Se si vuole che la regola rimanga scaduta nella relativa area di lavoro originale:
|
| Distribuzione non riuscita nell'area di lavoro di destinazione, con messaggio di errore: "Il file JSON che si è tentato di importare ha un formato non valido. Controllare il file e riprovare". |
Il file importato non è un file JSON valido. | Controllare la presenza di problemi nel file e riprovare. Per ottenere risultati ottimali, esportare nuovamente la regola originale in un nuovo file, quindi tentare nuovamente l'importazione. |
| Distribuzione non riuscita nell'area di lavoro di destinazione, con messaggio di errore: "Nessuna risorsa trovata nel file. Assicurarsi che il file contenga risorse di distribuzione e riprovare". |
L'elenco delle risorse nella chiave "resources" nel file JSON è vuoto. | Controllare la presenza di problemi nel file e riprovare. Per ottenere risultati ottimali, esportare nuovamente la regola originale in un nuovo file, quindi tentare nuovamente l'importazione. |
Passaggi successivi
In questo documento è stato illustrato come esportare e importare regole di automazione da/verso modelli di ARM.
- Altre informazioni sulle regole di automazione e su come crearle e usarle.
- Altre informazioni sui modelli di ARM.