Exportar e importar regras de automação de/para modelos do ARM
Gerencie suas regras de automação do Microsoft Sentinel como código. Agora você pode exportar suas regras de automação para arquivos de modelo do ARM (Azure Resource Manager) e importar regras desses arquivos, como parte do programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação cria um arquivo JSON no local de downloads do navegador, que pode ser renomeado, movido e manipulado como qualquer outro arquivo.
O arquivo JSON exportado pode ser importado para outros espaços de trabalho, pois é independente deles, e até mesmo para outros locatários. Como código, ele também pode passar por controle do código-fonte, atualização e implantação em uma estrutura de CI/CD gerenciada.
O arquivo inclui todos os parâmetros definidos na regra de automação. As regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.
Este artigo mostra como exportar e importar regras de automação.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Como versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Exportar regras
No menu de navegação do Microsoft Sentinel, selecione Automação.
Selecione a regra (ou regras — veja a observação) que você deseja exportar e selecione Exportar na barra na parte superior da tela.
Localize o arquivo exportado na pasta Downloads. Ele tem o mesmo nome da regra de automação, com uma extensão .json.
Observação
Você pode selecionar várias regras de automação ao mesmo tempo para a exportação marcando as caixas de seleção ao lado dessas regras e selecionando Exportar no final.
Você pode exportar todas as regras em uma única página da grade de exibição ao mesmo tempo marcando a caixa de seleção na linha do cabeçalho antes de clicar em Exportar. No entanto, não é possível exportar mais de uma página de regras por vez.
Nesse cenário, um único arquivo (chamado Azure_Sentinel_automation_rules.json) é criado e contém código JSON para todas as regras exportadas.
Importar regras
Tenha um arquivo JSON de modelo do ARM de regra de automação pronto.
No menu de navegação do Microsoft Sentinel, selecione Automação.
Selecione Importar na barra na parte superior da tela. Na caixa de diálogo resultante, acesse o arquivo JSON que representa a regra que você deseja importar, selecione-o e, seguida, escolha Abrir.
Observação
Você pode importar até 50 regras de automação de um único arquivo de modelo do ARM.
Solução de problemas
Se você tiver problemas ao importar uma regra de automação exportada, consulte a tabela a seguir.
Comportamento (com erro) | Motivo | Ação sugerida |
---|---|---|
A regra de automação importada está desabilitada -and- A condição de regra de análise da regra exibe "Regra desconhecida" |
A regra contém uma condição que se refere a uma regra de análise que não existe no workspace de destino. |
|
A regra de automação importada está desabilitada -and- A condição de chave de detalhes personalizados da regra exibe "Chave de detalhes personalizada desconhecida" |
A regra contém uma condição que se refere a uma chave de detalhes personalizada que não está definida em nenhuma regra de análise no workspace de destino. |
|
Falha na implantação no workspace de destino, com mensagem de erro: "Falha na implantação das regras de automação." Os detalhes da implantação contêm os motivos listados na próxima coluna para falha. |
O guia estratégico foi movido. -or- O guia estratégico foi excluído. -or- O workspace de destino não tem acesso ao guia estratégico. |
Verifique se o guia estratégico existe e se o workspace de destino tem o acesso certo ao grupo de recursos que contém o guia estratégico. |
Falha na implantação no workspace de destino, com mensagem de erro: "Falha na implantação das regras de automação." Os detalhes da implantação contêm os motivos listados na próxima coluna para falha. |
A regra de automação já tinha passado da data de validade definida quando você a importou. | Se você quiser que a regra permaneça expirada em seu workspace original:
|
Falha na implantação no workspace de destino, com mensagem de erro: "O arquivo JSON que você tentou importar tem um formato inválido. Verifique o arquivo e tente novamente." |
O arquivo importado não é um arquivo JSON válido. | Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente a importação novamente. |
Falha na implantação no workspace de destino, com mensagem de erro: "Nenhum recurso encontrado no arquivo. Verifique se o arquivo contém recursos de implantação e tente novamente." |
A lista de recursos na chave "recursos" no arquivo JSON está vazia. | Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente a importação novamente. |
Próximas etapas
Neste documento, você aprendeu a exportar e importar regras de automação de/para modelos do ARM.
- Saiba mais sobre regras de automação e como criar e trabalhar com elas.
- Saiba mais sobre modelos do ARM.