次の方法で共有

ARM テンプレート間でオートメーション ルールをエクスポートおよびインポートします

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel オートメーション ルールをコードとして管理します。 プログラムの一部として、オートメーション ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートして、Microsoft Sentinel のデプロイをコードとして管理および制御できるようになりました。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイルが作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。

エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。

このファイルには、オートメーション ルールで定義されているすべてのパラメーターが含まれています。 任意の種類のトリガーのルールを JSON ファイルにエクスポートできます。

この記事では、オートメーション ルールをエクスポートおよびインポートする方法について説明します。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

ルールのエクスポート

  1. Microsoft Sentinel のナビゲーション メニューから [オートメーション] を選択します。

  2. エクスポートするルール (または複数のルール — 注を参照) を選択し、画面の上部にあるバーから [エクスポート] を選択します。

    オートメーション ルールをエクスポートする方法を示すスクリーンショット。

    ダウンロード フォルダーでエクスポートしたファイルを見つけます。 オートメーション ルールと同じ名前で、拡張子が .json です。

    Note

    • エクスポートするために一度に複数のオートメーション ルールを選択するには、ルールの横にあるチェック ボックスをオンにして、[エクスポート] を選択します。

    • [エクスポート] をクリックする前に、ヘッダー行のチェック ボックスをオンにすることで、表示グリッドの 1 ページにあるすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。

    • このシナリオでは、1 つのファイル (Azure_Sentinel_automation_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードがそのファイルに書き込まれます。

ルールのインポート

  1. オートメーション ルールの ARM テンプレート JSON ファイルを準備します。

  2. Microsoft Sentinel のナビゲーション メニューから [オートメーション] を選択します。

  3. 画面上部にあるバーから [インポート] を選択します。 表示されるダイアログ ボックスで、インポートするルールが含まれる JSON ファイルに移動して選択し、 [開く] を選択します。

    オートメーション ルールをインポートする方法を示すスクリーンショット。

    Note

    1 つの ARM テンプレート ファイルから最大 50 個のオートメーション ルールをインポートできます。

トラブルシューティング

エクスポートしたオートメーション ルールのインポートで問題が発生した場合は、次の表を参照してください。

("エラー" が発生している) 動作 理由 推奨されるアクション
インポートされたオートメーション ルールが無効になっている
-、-
ルールの "分析ルール" 条件に "不明なルール" と表示される		 このルールには、ターゲット ワークスペースに存在しない分析ルールを参照する条件が含まれています。
  1. 参照されている分析ルールを元のワークスペースからエクスポートし、ターゲット ワークスペースにインポートします。
  2. ターゲット ワークスペースでオートメーション ルールを編集し、ドロップダウンから現在存在する分析ルールを選択します。
  3. オートメーション ルールを有効にします。
インポートされたオートメーション ルールが無効になっている
-、-
ルールの "カスタム詳細キー" 条件に "不明なカスタム詳細キー" と表示される		 このルールには、ターゲット ワークスペースのどの分析ルールでも定義されていないカスタム詳細キーを参照する条件が含まれています。
  1. 参照されている分析ルールを元のワークスペースからエクスポートし、ターゲット ワークスペースにインポートします。
  2. ターゲット ワークスペースでオートメーション ルールを編集し、ドロップダウンから現在存在する分析ルールを選択します。
  3. オートメーション ルールを有効にします。
ターゲット ワークスペースでデプロイに失敗し、"オートメーション ルールをデプロイできませんでした。" というエラー メッセージが表示される
デプロイの詳細には、次の列に表示されるエラーの理由が含まれています。		 プレイブックが移動されました。
-or-
プレイブックが削除されました。
-or-
ターゲット ワークスペースからプレイブックにアクセスできません。		 プレイブックが存在し、ターゲット ワークスペースからプレイブックを含むリソース グループへの適切なアクセス権があることを確認します。
ターゲット ワークスペースでデプロイに失敗し、"オートメーション ルールをデプロイできませんでした。" というエラー メッセージが表示される
デプロイの詳細には、次の列に表示されるエラーの理由が含まれています。		 オートメーション ルールは、インポート時に定義された有効期限を過ぎました。 元のワークスペースでルールの有効期限が切れたままにする場合:
  1. エクスポートされたオートメーション ルールを表す JSON ファイルを編集します。
  2. 有効期限 (文字列 "expirationTimeUtc": の直後に表示されます) を見つけて、新しい有効期限 (将来) の日付に置き換えます。
  3. ファイルを保存し、ターゲット ワークスペースに再インポートします。
ルールを元のワークスペースでアクティブな状態に戻す場合:
  1. 元のワークスペースでオートメーション ルールを編集し、有効期限を将来の日付に変更します。
  2. 元のワークスペースからルールをもう一度エクスポートします。
  3. 新たにエクスポートしたバージョンをターゲット ワークスペースにインポートします。
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示される:
"インポートしようとした JSON ファイルの形式が無効です。ファイルを確認して、もう一度やり直してください。"		 インポートされたファイルは有効な JSON ファイルではありません。 ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、もう一度インポートを試してください。
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示される:
"ファイルにリソースが見つかりません。ファイルにデプロイ リソースが含まれていることを確認してから、もう一度やり直してください。"		 JSON ファイルの "resources" キーの下にあるリソースのリストが空です。 ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、もう一度インポートを試してください。

次のステップ

このドキュメントでは、ARM テンプレート間でオートメーション ルールをエクスポートおよびインポートする方法について学習しました。