Delen via

Automatiseringsregels exporteren en importeren van en naar ARM-sjablonen

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Beheer uw Automatiseringsregels voor Microsoft Sentinel als code. U kunt nu uw automatiseringsregels exporteren naar ARM-sjabloonbestanden (Azure Resource Manager) en regels importeren uit deze bestanden, als onderdeel van uw programma om uw Microsoft Sentinel-implementaties als code te beheren en te beheren. Met de exportactie maakt u een JSON-bestand op de downloadlocatie van uw browser, die u vervolgens kunt hernoemen, verplaatsen en anderszins kunt verwerken zoals elk ander bestand.

Het geëxporteerde JSON-bestand is werkruimte-onafhankelijk, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.

Het bestand bevat alle parameters die zijn gedefinieerd in de automatiseringsregel. Regels van elk triggertype kunnen worden geëxporteerd naar een JSON-bestand.

In dit artikel leest u hoe u automatiseringsregels exporteert en importeert.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Exportregels

  1. Selecteer Automation in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer de regel (of regels, zie opmerking) die u wilt exporteren en selecteer Exporteren in de balk boven aan het scherm.

    Schermopname die laat zien hoe u een automatiseringsregel exporteert.

    Zoek het geëxporteerde bestand in de map Downloads. Deze heeft dezelfde naam als de automatiseringsregel, met een .json-extensie.

    Notitie

    • U kunt meerdere automatiseringsregels tegelijk selecteren voor exporteren door de selectievakjes naast de regels te markeren en aan het einde Exporteren te selecteren.

    • U kunt alle regels op één pagina van het weergaveraster tegelijk exporteren door het selectievakje in de veldnamenrij te markeren voordat u op Exporteren klikt. U kunt echter niet meer dan één pagina aan regels tegelijk exporteren.

    • In dit scenario wordt één bestand (met de naam Azure_Sentinel_automation_rules.json) gemaakt en bevat de JSON-code voor alle geëxporteerde regels.

Importregels

  1. Zorg ervoor dat een ARM-sjabloon-JSON-bestand gereed is voor automatiseringsregel.

  2. Selecteer Automation in het navigatiemenu van Microsoft Sentinel.

  3. Selecteer Importeren in de balk boven aan het scherm. Navigeer in het resulterende dialoogvenster naar het JSON-bestand dat de regel vertegenwoordigt die u wilt importeren en selecteer Openen.

    Schermopname die laat zien hoe u een automatiseringsregel importeert.

    Notitie

    U kunt maximaal 50 automatiseringsregels importeren uit één ARM-sjabloonbestand.

Probleemoplossing

Als u problemen ondervindt met het importeren van een geëxporteerde automatiseringsregel, raadpleegt u de volgende tabel.

Gedrag (met fout) Reden Voorgestelde actie
Geïmporteerde automatiseringsregel is uitgeschakeld
-and-
In de analyseregelvoorwaarde van de regel wordt 'Onbekende regel' weergegeven		 De regel bevat een voorwaarde die verwijst naar een analyseregel die niet bestaat in de doelwerkruimte.
  1. Exporteer de analyseregel waarnaar wordt verwezen vanuit de oorspronkelijke werkruimte en importeer deze naar het doel.
  2. Bewerk de automatiseringsregel in de doelwerkruimte en kies de nu aanwezige analyseregel in de vervolgkeuzelijst.
  3. Schakel de automatiseringsregel in.
Geïmporteerde automatiseringsregel is uitgeschakeld
-and-
De sleutelvoorwaarde voor aangepaste details van de regel geeft 'Onbekende aangepaste detailssleutel' weer		 De regel bevat een voorwaarde die verwijst naar een aangepaste detailssleutel die niet is gedefinieerd in analyseregels in de doelwerkruimte.
  1. Exporteer de analyseregel waarnaar wordt verwezen vanuit de oorspronkelijke werkruimte en importeer deze naar het doel.
  2. Bewerk de automatiseringsregel in de doelwerkruimte en kies de nu aanwezige analyseregel in de vervolgkeuzelijst.
  3. Schakel de automatiseringsregel in.
Implementatie is mislukt in de doelwerkruimte, met het foutbericht: 'Automation-regels kunnen niet worden geïmplementeerd.'
Implementatiedetails bevatten de redenen die worden vermeld in de volgende kolom voor fouten.		 Het playbook is verplaatst.
-or-
Het playbook is verwijderd.
-or-
De doelwerkruimte heeft geen toegang tot het playbook.		 Zorg ervoor dat het playbook bestaat en dat de doelwerkruimte de juiste toegang heeft tot de resourcegroep die het playbook bevat.
Implementatie is mislukt in de doelwerkruimte, met het foutbericht: 'Automation-regels kunnen niet worden geïmplementeerd.'
Implementatiedetails bevatten de redenen die worden vermeld in de volgende kolom voor fouten.		 De automatiseringsregel is verstreken na de gedefinieerde vervaldatum toen u deze hebt geïmporteerd. Als u wilt dat de regel verlopen blijft in de oorspronkelijke werkruimte:
  1. Bewerk het JSON-bestand dat de geëxporteerde automatiseringsregel vertegenwoordigt.
  2. Zoek de vervaldatum (die direct na de tekenreeks "expirationTimeUtc":wordt weergegeven) en vervang deze door een nieuwe vervaldatum (in de toekomst).
  3. Sla het bestand op en importeer het opnieuw in de doelwerkruimte.
Als u wilt dat de regel terugkeert naar de actieve status in de oorspronkelijke werkruimte:
  1. Bewerk de automatiseringsregel in de oorspronkelijke werkruimte en wijzig de vervaldatum ervan in een datum in de toekomst.
  2. Exporteer de regel opnieuw vanuit de oorspronkelijke werkruimte.
  3. Importeer de zojuist geëxporteerde versie in de doelwerkruimte.
Implementatie is mislukt in de doelwerkruimte, met foutbericht:
"Het JSON-bestand dat u probeert te importeren, heeft een ongeldige indeling. Controleer het bestand en probeer het opnieuw.'		 Het geïmporteerde bestand is geen geldig JSON-bestand. Controleer het bestand op problemen en probeer het opnieuw. Voor de beste resultaten exporteert u de oorspronkelijke regel opnieuw naar een nieuw bestand en probeert u het importeren opnieuw.
Implementatie is mislukt in de doelwerkruimte, met foutbericht:
"Er zijn geen resources gevonden in het bestand. Zorg ervoor dat het bestand implementatiebronnen bevat en probeer het opnieuw.'		 De lijst met resources onder de sleutel Resources in het JSON-bestand is leeg. Controleer het bestand op problemen en probeer het opnieuw. Voor de beste resultaten exporteert u de oorspronkelijke regel opnieuw naar een nieuw bestand en probeert u het importeren opnieuw.

Volgende stappen

In dit document hebt u geleerd hoe u automatiseringsregels exporteert en importeert van en naar ARM-sjablonen.