ARM テンプレート間でオートメーション ルールをエクスポートおよびインポートします
Microsoft Sentinel オートメーション ルールをコードとして管理します。 プログラムの一部として、オートメーション ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートして、Microsoft Sentinel のデプロイをコードとして管理および制御できるようになりました。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイルが作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。
エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。
このファイルには、オートメーション ルールで定義されているすべてのパラメーターが含まれています。 任意の種類のトリガーのルールを JSON ファイルにエクスポートできます。
この記事では、オートメーション ルールをエクスポートおよびインポートする方法について説明します。
重要
Microsoft Sentinel は Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
ルールのエクスポート
Microsoft Sentinel のナビゲーション メニューから [オートメーション] を選択します。
エクスポートするルール (または複数のルール — 注を参照) を選択し、画面の上部にあるバーから [エクスポート] を選択します。
ダウンロード フォルダーでエクスポートしたファイルを見つけます。 オートメーション ルールと同じ名前で、拡張子が .json です。
Note
エクスポートするために一度に複数のオートメーション ルールを選択するには、ルールの横にあるチェック ボックスをオンにして、[エクスポート] を選択します。
[エクスポート] をクリックする前に、ヘッダー行のチェック ボックスをオンにすることで、表示グリッドの 1 ページにあるすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。
このシナリオでは、1 つのファイル (Azure_Sentinel_automation_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードがそのファイルに書き込まれます。
ルールのインポート
オートメーション ルールの ARM テンプレート JSON ファイルを準備します。
Microsoft Sentinel のナビゲーション メニューから [オートメーション] を選択します。
画面上部にあるバーから [インポート] を選択します。 表示されるダイアログ ボックスで、インポートするルールが含まれる JSON ファイルに移動して選択し、 [開く] を選択します。
Note
1 つの ARM テンプレート ファイルから最大 50 個のオートメーション ルールをインポートできます。
トラブルシューティング
エクスポートしたオートメーション ルールのインポートで問題が発生した場合は、次の表を参照してください。
("エラー" が発生している) 動作 | 理由 | 推奨されるアクション |
---|---|---|
インポートされたオートメーション ルールが無効になっている -、- ルールの "分析ルール" 条件に "不明なルール" と表示される |
このルールには、ターゲット ワークスペースに存在しない分析ルールを参照する条件が含まれています。 |
|
インポートされたオートメーション ルールが無効になっている -、- ルールの "カスタム詳細キー" 条件に "不明なカスタム詳細キー" と表示される |
このルールには、ターゲット ワークスペースのどの分析ルールでも定義されていないカスタム詳細キーを参照する条件が含まれています。 |
|
ターゲット ワークスペースでデプロイに失敗し、"オートメーション ルールをデプロイできませんでした。" というエラー メッセージが表示される デプロイの詳細には、次の列に表示されるエラーの理由が含まれています。 |
プレイブックが移動されました。 -or- プレイブックが削除されました。 -or- ターゲット ワークスペースからプレイブックにアクセスできません。 |
プレイブックが存在し、ターゲット ワークスペースからプレイブックを含むリソース グループへの適切なアクセス権があることを確認します。 |
ターゲット ワークスペースでデプロイに失敗し、"オートメーション ルールをデプロイできませんでした。" というエラー メッセージが表示される デプロイの詳細には、次の列に表示されるエラーの理由が含まれています。 |
オートメーション ルールは、インポート時に定義された有効期限を過ぎました。 | 元のワークスペースでルールの有効期限が切れたままにする場合:
|
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示される: "インポートしようとした JSON ファイルの形式が無効です。ファイルを確認して、もう一度やり直してください。" |
インポートされたファイルは有効な JSON ファイルではありません。 | ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、もう一度インポートを試してください。 |
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示される: "ファイルにリソースが見つかりません。ファイルにデプロイ リソースが含まれていることを確認してから、もう一度やり直してください。" |
JSON ファイルの "resources" キーの下にあるリソースのリストが空です。 | ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、もう一度インポートを試してください。 |
次のステップ
このドキュメントでは、ARM テンプレート間でオートメーション ルールをエクスポートおよびインポートする方法について学習しました。
- オートメーション ルールとそれらの作成および操作方法の詳細を確認します。
- ARM テンプレートの詳細を確認します。