ARM 템플릿에서 자동화 규칙 내보내기 및 가져오기

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 자동화 규칙을 코드로 관리하세요! 이제 자동화 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고, 프로그램의 일부로 이러한 파일에서 규칙을 가져와 Microsoft Sentinel 배포를 코드로 관리하고 제어할 수 있습니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 다른 파일과 마찬가지로 이름을 바꾸고, 이동하고, 처리할 수 있습니다.

내보낸 JSON 파일은 작업 영역과 독립적이므로 다른 작업 영역 및 다른 테넌트로도 가져올 수 있습니다. 코드로서, 관리형 CI/CD 프레임워크에서 버전을 제어하고 업데이트하고 배포할 수도 있습니다.

파일에는 자동화 규칙에 정의된 모든 매개 변수가 포함됩니다. 모든 트리거 형식의 규칙을 JSON 파일로 내보낼 수 있습니다.

이 문서에서는 자동화 규칙을 내보내고 가져오는 방법을 보여 줍니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

규칙 내보내기

1. Microsoft Sentinel 탐색 메뉴에서 자동화를 선택합니다.

2. 내보낼 규칙(참고 참조)을 선택하고 화면 맨 위에 있는 표시줄에서 내보내기를 선택합니다.

   

   Downloads 폴더에서 내보낸 파일을 찾습니다. 자동화 규칙과 이름은 같으며 확장명은 .json입니다.

   참고 항목

   • 규칙 옆에 있는 확인란을 선택하고 끝에 있는 내보내기를 선택하여 내보낼 자동화 규칙을 한 번에 여러 개 선택할 수 있습니다.

   • 내보내기를 클릭하기 전에 머리글 행의 확인란을 선택하여 디스플레이 그리드의 한 페이지에 있는 모든 규칙을 한 번에 내보낼 수 있습니다. 하지만 한 번에 두 페이지 이상의 규칙을 내보낼 수는 없습니다.

   • 이 시나리오에서는 단일 파일(Azure_Sentinel_automation_rules.json)이 만들어지고 내보낸 모든 규칙에 대한 JSON 코드가 포함됩니다.

가져오기 규칙

1. 자동화 규칙 ARM 템플릿 JSON 파일을 준비합니다.

2. Microsoft Sentinel 탐색 메뉴에서 자동화를 선택합니다.

3. 화면 맨 위에 있는 막대에서 가져오기를 선택합니다. 결과 대화 상자에서 가져오려는 규칙을 나타내는 JSON 파일로 이동하여 선택하고 열기를 선택합니다.

   

   참고 항목

   단일 ARM 템플릿 파일에서 최대 50개의 자동화 규칙을 가져올 수 있습니다.

문제 해결

내보낸 자동화 규칙을 가져오는 데 문제가 있는 경우 다음 표를 참조하세요.

동작(오류 포함)	원인	권장 조치
가져온 자동화 규칙이 사용하지 않도록 설정되어 있습니다. -and- 규칙의 분석 규칙 조건에 "알 수 없는 규칙"이 표시됩니다.	규칙에는 대상 작업 영역에 없는 분석 규칙을 참조하는 조건이 포함되어 있습니다.	원래 작업 영역에서 참조된 분석 규칙을 내보내고 대상 작업 영역으로 가져옵니다. 대상 작업 영역에서 자동화 규칙을 편집하고 드롭다운에서 현재 분석 규칙을 선택합니다. 자동화 규칙을 사용하도록 설정합니다.
가져온 자동화 규칙이 사용하지 않도록 설정되어 있습니다. -and- 규칙의 사용자 지정 세부 정보 키 조건에 "알 수 없는 사용자 지정 세부 정보 키"가 표시됩니다.	규칙의 대상 작업 영역에는 분석 규칙에 정의되지 않은 사용자 지정 세부 정보 키를 참조하는 조건이 포함되어 있습니다.	원래 작업 영역에서 참조된 분석 규칙을 내보내고 대상 작업 영역으로 가져옵니다. 대상 작업 영역에서 자동화 규칙을 편집하고 드롭다운에서 현재 분석 규칙을 선택합니다. 자동화 규칙을 사용하도록 설정합니다.
대상 작업 영역에서 배포가 실패하며 "자동화 규칙을 배포하지 못했습니다."라는 오류 메시지를 표시합니다. 배포 세부 정보의 실패에 대한 다음 열에는 이유가 포함되어 있습니다.	플레이북이 이동되었습니다. -or- 플레이북이 삭제되었습니다. -or- 대상 작업 영역에는 플레이북에 대한 액세스 권한이 없습니다.	플레이북이 있고 대상 작업 영역에 플레이북이 포함된 리소스 그룹에 대한 올바른 액세스 권한이 있는지 확인합니다.
대상 작업 영역에서 배포가 실패하며 "자동화 규칙을 배포하지 못했습니다."라는 오류 메시지를 표시합니다. 배포 세부 정보의 실패에 대한 다음 열에는 이유가 포함되어 있습니다.	자동화 규칙을 가져왔을 때 정의했던 만료 날짜가 지났습니다.	규칙이 원래 작업 영역에서 만료된 상태로 유지되도록 하려면 다음을 수행합니다. 내보낸 자동화 규칙을 나타내는 JSON 파일을 편집합니다. 만료 날짜(문자열 "expirationTimeUtc": 바로 뒤에 표시)를 찾아 새 만료 날짜(미래)로 바꿉니다. 파일을 저장하고 대상 작업 영역으로 다시 가져옵니다. 규칙이 원래 작업 영역에서 활성 상태로 돌아가도록 하려면 다음을 수행합니다. 원래 작업 영역에서 자동화 규칙을 편집하고 만료 날짜를 미래의 날짜로 변경합니다. 원래 작업 영역에서 규칙을 다시 내보냅니다. 새로 내보낸 버전을 대상 작업 영역으로 가져옵니다.
대상 작업 영역에서 배포가 실패했으며 다음 오류 메시지가 표시됩니다. "가져오려는 JSON 파일의 형식이 잘못되었습니다. 파일을 확인하고 다시 시도하세요."	가져온 파일이 유효한 JSON 파일이 아닙니다.	파일에 문제가 있는지 확인하고 다시 시도하세요. 최상의 결과를 얻으려면 원래 규칙을 새 파일로 다시 내보냈다가 다시 가져옵니다.
대상 작업 영역에서 배포가 실패했으며 다음 오류 메시지가 표시됩니다. 파일에 리소스가 없습니다. 파일에 배포 리소스가 포함되어 있는지 확인하고 다시 시도하세요."	JSON 파일의 "resources" 키 아래에 있는 리소스 목록이 비어 있습니다.	파일에 문제가 있는지 확인하고 다시 시도하세요. 최상의 결과를 얻으려면 원래 규칙을 새 파일로 다시 내보냈다가 다시 가져옵니다.

다음 단계

이 문서에서는 ARM 템플릿에서 자동화 규칙을 내보내고 가져오는 방법을 배웠습니다.

• 자동화 규칙 및 만들고 사용하는 방법에 대해 자세히 알아봅니다.
• ARM 템플릿에 대해 알아봅니다.