ARM 템플릿에서 분석 규칙 내보내기 및 가져오기

Important

• 규칙 내보내기 및 가져오기는 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

소개

이제 Microsoft Sentinel 배포를 코드로 관리 및 제어하는 과정의 일환으로, 분석 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고 해당 파일에서 규칙을 가져올 수 있습니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일(Azure_Sentinel_analytic_rule.json)을 만듭니다. 그러면 다른 파일처럼 이름을 바꾸고 이동하고 처리할 수 있습니다.

내보낸 JSON 파일은 작업 영역과 독립적이므로 다른 작업 영역 및 다른 테넌트로도 가져올 수 있습니다. 코드로서, 관리형 CI/CD 프레임워크에서 버전을 제어하고 업데이트하고 배포할 수도 있습니다.

이 파일은 분석 규칙에 정의된 모든 매개 변수를 포함하므로, 예약됨 규칙에 대해서는 기본 쿼리 및 함께 제공되는 일정 설정, 심각도, 인시던트 만들기, 이벤트와 경고 그룹화 설정, 할당된 MITRE ATT&CK 전술 등을 포함합니다. 예약됨뿐만 아니라 모든 유형의 분석 규칙을 JSON 파일로 내보낼 수 있습니다.

규칙 내보내기

1. Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.

2. 내보낼 규칙을 선택하고 화면 맨 위에 있는 막대에서 내보내기를 클릭합니다.

   

   참고 항목

   • 규칙 옆에 있는 확인란을 선택하고 끝에 있는 내보내기를 클릭하여 내보낼 분석 규칙을 한 번에 여러 개 선택할 수 있습니다.

   • 내보내기를 클릭하기 전에 머리글 행(심각도 옆)의 확인란을 선택하여 디스플레이 그리드의 한 페이지에 있는 모든 규칙을 한 번에 내보낼 수 있습니다. 하지만 한 번에 두 페이지 이상의 규칙을 내보낼 수는 없습니다.

   • 이 시나리오에서는 단일 파일(Azure_Sentinel_analytic_rules.json)이 만들어지고, 내보낸 모든 규칙에 대한 JSON 코드가 파일에 포함됩니다.

가져오기 규칙

1. 분석 규칙 ARM 템플릿 JSON 파일을 준비합니다.

2. Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.

3. 화면 맨 위에 있는 막대에서 가져오기를 클릭합니다. 결과 대화 상자에서 가져오려는 규칙을 나타내는 JSON 파일로 이동하여 선택하고 열기를 선택합니다.

   

   참고 항목

   단일 ARM 템플릿 파일에서 최대 50개의 분석 규칙을 가져올 수 있습니다.

다음 단계

이 문서에서는 ARM 템플릿에서 분석 규칙을 내보내고 가져오는 방법을 배웠습니다.

• 사용자 지정 예약 규칙을 포함하여 분석 규칙에 대해 자세히 알아봅니다.
• ARM 템플릿에 대해 알아봅니다.