Eksportowanie i importowanie reguł automatyzacji do i z szablonów ARM
Zarządzaj regułami automatyzacji usługi Microsoft Sentinel jako kodem! Teraz możesz wyeksportować reguły automatyzacji do plików szablonów usługi Azure Resource Manager (ARM) i zaimportować reguły z tych plików w ramach programu, aby zarządzać wdrożeniami usługi Microsoft Sentinel i kontrolować je jako kod. Akcja eksportu tworzy plik JSON w lokalizacji pobierania przeglądarki, który można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik.
Wyeksportowany plik JSON jest niezależny od obszaru roboczego, więc można go zaimportować do innych obszarów roboczych, a nawet innych dzierżaw. Jako kod można go również kontrolować, aktualizować i wdrażać w zarządzanej strukturze ciągłej integracji/ciągłego wdrażania.
Plik zawiera wszystkie parametry zdefiniowane w regule automatyzacji. Reguły dowolnego typu wyzwalacza można wyeksportować do pliku JSON.
W tym artykule przedstawiono sposób eksportowania i importowania reguł automatyzacji.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Eksportowanie reguł
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.
Wybierz regułę (lub reguły — zobacz notatkę), którą chcesz wyeksportować, a następnie wybierz pozycję Eksportuj na pasku w górnej części ekranu.
Znajdź wyeksportowany plik w folderze Pobrane. Ma taką samą nazwę jak reguła automatyzacji z rozszerzeniem .json.
Uwaga
Aby wyeksportować wiele reguł automatyzacji, możesz zaznaczyć pola wyboru obok reguł i wybrać pozycję Eksportuj na końcu.
Wszystkie reguły można wyeksportować na jednej stronie siatki wyświetlania jednocześnie, zaznaczając pole wyboru w wierszu nagłówka przed kliknięciem pozycji Eksportuj. Jednocześnie nie można eksportować więcej niż jednej strony reguł.
W tym scenariuszu jest tworzony pojedynczy plik (o nazwie Azure_Sentinel_automation_rules.json) i zawiera kod JSON dla wszystkich wyeksportowanych reguł.
Importowanie reguł
Przygotuj plik JSON szablonu reguły automatyzacji usługi ARM.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.
Wybierz pozycję Importuj na pasku w górnej części ekranu. W wyświetlonym oknie dialogowym przejdź do pliku JSON reprezentującego regułę, którą chcesz zaimportować, i wybierz pozycję Otwórz.
Uwaga
Można zaimportować maksymalnie 50 reguł automatyzacji z jednego pliku szablonu usługi ARM.
Rozwiązywanie problemów
Jeśli masz problemy z importowaniem wyeksportowanej reguły automatyzacji, zapoznaj się z poniższą tabelą.
Zachowanie (z błędem) | Przyczyna | Sugerowane działania |
---|---|---|
Zaimportowana reguła automatyzacji jest wyłączona -and- Warunek reguły analizy reguły wyświetla komunikat "Nieznana reguła" |
Reguła zawiera warunek odwołujący się do reguły analizy, która nie istnieje w docelowym obszarze roboczym. |
|
Zaimportowana reguła automatyzacji jest wyłączona -and- Warunek klucza szczegółów niestandardowych reguły wyświetla "Nieznany klucz szczegółów niestandardowych" |
Reguła zawiera warunek odwołujący się do niestandardowego klucza szczegółów, który nie jest zdefiniowany w żadnych regułach analizy w docelowym obszarze roboczym. |
|
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "Nie można wdrożyć reguł automatyzacji". Szczegóły wdrożenia zawierają przyczyny niepowodzenia wymienione w następnej kolumnie. |
Podręcznik został przeniesiony. -or- Podręcznik został usunięty. -or- Docelowy obszar roboczy nie ma dostępu do podręcznika. |
Upewnij się, że podręcznik istnieje i że docelowy obszar roboczy ma odpowiedni dostęp do grupy zasobów zawierającej podręcznik. |
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "Nie można wdrożyć reguł automatyzacji". Szczegóły wdrożenia zawierają przyczyny wymienione w następnej kolumnie dla błędu . |
Reguła automatyzacji została wklejona po jej zdefiniowanej dacie wygaśnięcia podczas jej importowania. | Jeśli chcesz, aby reguła wygasła w oryginalnym obszarze roboczym:
|
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "Plik JSON, który próbowano zaimportować, ma nieprawidłowy format. Sprawdź plik i spróbuj ponownie". |
Zaimportowany plik nie jest prawidłowym plikiem JSON. | Sprawdź plik pod kątem problemów i spróbuj ponownie. Aby uzyskać najlepsze wyniki, ponownie wyeksportuj oryginalną regułę do nowego pliku, a następnie spróbuj ponownie zaimportować. |
Wdrożenie nie powiodło się w docelowym obszarze roboczym z komunikatem o błędzie: "W pliku nie znaleziono żadnych zasobów. Upewnij się, że plik zawiera zasoby wdrożenia i spróbuj ponownie. |
Lista zasobów w kluczu "resources" w pliku JSON jest pusta. | Sprawdź plik pod kątem problemów i spróbuj ponownie. Aby uzyskać najlepsze wyniki, ponownie wyeksportuj oryginalną regułę do nowego pliku, a następnie spróbuj ponownie zaimportować. |
Następne kroki
W tym dokumencie przedstawiono sposób eksportowania i importowania reguł automatyzacji do i z szablonów usługi ARM.
- Dowiedz się więcej o regułach automatyzacji i sposobach ich tworzenia i pracy z nimi.
- Dowiedz się więcej o szablonach usługi ARM.