Udostępnij za pośrednictwem


Eksportowanie i importowanie reguł automatyzacji do i z szablonów ARM

Zarządzaj regułami automatyzacji usługi Microsoft Sentinel jako kodem! Teraz możesz wyeksportować reguły automatyzacji do plików szablonów usługi Azure Resource Manager (ARM) i zaimportować reguły z tych plików w ramach programu, aby zarządzać wdrożeniami usługi Microsoft Sentinel i kontrolować je jako kod. Akcja eksportu tworzy plik JSON w lokalizacji pobierania przeglądarki, który można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik.

Wyeksportowany plik JSON jest niezależny od obszaru roboczego, więc można go zaimportować do innych obszarów roboczych, a nawet innych dzierżaw. Jako kod można go również kontrolować, aktualizować i wdrażać w zarządzanej strukturze ciągłej integracji/ciągłego wdrażania.

Plik zawiera wszystkie parametry zdefiniowane w regule automatyzacji. Reguły dowolnego typu wyzwalacza można wyeksportować do pliku JSON.

W tym artykule przedstawiono sposób eksportowania i importowania reguł automatyzacji.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Eksportowanie reguł

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.

  2. Wybierz regułę (lub reguły — zobacz notatkę), którą chcesz wyeksportować, a następnie wybierz pozycję Eksportuj na pasku w górnej części ekranu.

    Zrzut ekranu przedstawiający sposób eksportowania reguły automatyzacji.

    Znajdź wyeksportowany plik w folderze Pobrane. Ma taką samą nazwę jak reguła automatyzacji z rozszerzeniem .json.

    Uwaga

    • Aby wyeksportować wiele reguł automatyzacji, możesz zaznaczyć pola wyboru obok reguł i wybrać pozycję Eksportuj na końcu.

    • Wszystkie reguły można wyeksportować na jednej stronie siatki wyświetlania jednocześnie, zaznaczając pole wyboru w wierszu nagłówka przed kliknięciem pozycji Eksportuj. Jednocześnie nie można eksportować więcej niż jednej strony reguł.

    • W tym scenariuszu jest tworzony pojedynczy plik (o nazwie Azure_Sentinel_automation_rules.json) i zawiera kod JSON dla wszystkich wyeksportowanych reguł.

Importowanie reguł

  1. Przygotuj plik JSON szablonu reguły automatyzacji usługi ARM.

  2. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.

  3. Wybierz pozycję Importuj na pasku w górnej części ekranu. W wyświetlonym oknie dialogowym przejdź do pliku JSON reprezentującego regułę, którą chcesz zaimportować, i wybierz pozycję Otwórz.

    Zrzut ekranu przedstawiający sposób importowania reguły automatyzacji.

    Uwaga

    Można zaimportować maksymalnie 50 reguł automatyzacji z jednego pliku szablonu usługi ARM.

Rozwiązywanie problemów

Jeśli masz problemy z importowaniem wyeksportowanej reguły automatyzacji, zapoznaj się z poniższą tabelą.

Zachowanie (z błędem) Przyczyna Sugerowane działania
Zaimportowana reguła automatyzacji jest wyłączona
-and-
Warunek reguły analizy reguły wyświetla komunikat "Nieznana reguła"
Reguła zawiera warunek odwołujący się do reguły analizy, która nie istnieje w docelowym obszarze roboczym.
  1. Wyeksportuj przywołyną regułę analizy z oryginalnego obszaru roboczego i zaimportuj ją do elementu docelowego.
  2. Edytuj regułę automatyzacji w docelowym obszarze roboczym, wybierając regułę analizy teraz z listy rozwijanej.
  3. Włącz regułę automatyzacji.
Zaimportowana reguła automatyzacji jest wyłączona
-and-
Warunek klucza szczegółów niestandardowych reguły wyświetla "Nieznany klucz szczegółów niestandardowych"
Reguła zawiera warunek odwołujący się do niestandardowego klucza szczegółów, który nie jest zdefiniowany w żadnych regułach analizy w docelowym obszarze roboczym.
  1. Wyeksportuj przywołyną regułę analizy z oryginalnego obszaru roboczego i zaimportuj ją do elementu docelowego.
  2. Edytuj regułę automatyzacji w docelowym obszarze roboczym, wybierając regułę analizy teraz z listy rozwijanej.
  3. Włącz regułę automatyzacji.
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "Nie można wdrożyć reguł automatyzacji".
Szczegóły wdrożenia zawierają przyczyny niepowodzenia wymienione w następnej kolumnie.
Podręcznik został przeniesiony.
-or-
Podręcznik został usunięty.
-or-
Docelowy obszar roboczy nie ma dostępu do podręcznika.
Upewnij się, że podręcznik istnieje i że docelowy obszar roboczy ma odpowiedni dostęp do grupy zasobów zawierającej podręcznik.
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "Nie można wdrożyć reguł automatyzacji".
Szczegóły wdrożenia zawierają przyczyny wymienione w następnej kolumnie dla błędu .
Reguła automatyzacji została wklejona po jej zdefiniowanej dacie wygaśnięcia podczas jej importowania. Jeśli chcesz, aby reguła wygasła w oryginalnym obszarze roboczym:
  1. Edytuj plik JSON reprezentujący wyeksportowaną regułę automatyzacji.
  2. Znajdź datę wygaśnięcia (wyświetlaną natychmiast po ciągu "expirationTimeUtc":) i zastąp ją nową datą wygaśnięcia (w przyszłości).
  3. Zapisz plik i zaimportuj go ponownie do docelowego obszaru roboczego.
Jeśli chcesz, aby reguła wróciła do stanu aktywnego w oryginalnym obszarze roboczym:
  1. Edytuj regułę automatyzacji w oryginalnym obszarze roboczym i zmień datę wygaśnięcia na datę w przyszłości.
  2. Ponownie wyeksportuj regułę z oryginalnego obszaru roboczego.
  3. Zaimportuj nowo wyeksportowaną wersję do docelowego obszaru roboczego.
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie:
"Plik JSON, który próbowano zaimportować, ma nieprawidłowy format. Sprawdź plik i spróbuj ponownie".
Zaimportowany plik nie jest prawidłowym plikiem JSON. Sprawdź plik pod kątem problemów i spróbuj ponownie. Aby uzyskać najlepsze wyniki, ponownie wyeksportuj oryginalną regułę do nowego pliku, a następnie spróbuj ponownie zaimportować.
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie:
"W pliku nie znaleziono żadnych zasobów. Upewnij się, że plik zawiera zasoby wdrożenia i spróbuj ponownie.
Lista zasobów w kluczu "resources" w pliku JSON jest pusta. Sprawdź plik pod kątem problemów i spróbuj ponownie. Aby uzyskać najlepsze wyniki, ponownie wyeksportuj oryginalną regułę do nowego pliku, a następnie spróbuj ponownie zaimportować.

Następne kroki

W tym dokumencie przedstawiono sposób eksportowania i importowania reguł automatyzacji do i z szablonów usługi ARM.