Compartilhar via


Exportar e importar regras de automação de/para modelos do ARM

Gerencie suas regras de automação do Microsoft Sentinel como código. Agora você pode exportar suas regras de automação para arquivos de modelo do ARM (Azure Resource Manager) e importar regras desses arquivos, como parte do programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação cria um arquivo JSON no local de downloads do navegador, que pode ser renomeado, movido e manipulado como qualquer outro arquivo.

O arquivo JSON exportado pode ser importado para outros espaços de trabalho, pois é independente deles, e até mesmo para outros locatários. Como código, ele também pode passar por controle do código-fonte, atualização e implantação em uma estrutura de CI/CD gerenciada.

O arquivo inclui todos os parâmetros definidos na regra de automação. As regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.

Este artigo mostra como exportar e importar regras de automação.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Como versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Exportar regras

  1. No menu de navegação do Microsoft Sentinel, selecione Automação.

  2. Selecione a regra (ou regras — veja a observação) que você deseja exportar e selecione Exportar na barra na parte superior da tela.

    Captura de tela mostrando como exportar uma regra de automação.

    Localize o arquivo exportado na pasta Downloads. Ele tem o mesmo nome da regra de automação, com uma extensão .json.

    Observação

    • Você pode selecionar várias regras de automação ao mesmo tempo para a exportação marcando as caixas de seleção ao lado dessas regras e selecionando Exportar no final.

    • Você pode exportar todas as regras em uma única página da grade de exibição ao mesmo tempo marcando a caixa de seleção na linha do cabeçalho antes de clicar em Exportar. No entanto, não é possível exportar mais de uma página de regras por vez.

    • Nesse cenário, um único arquivo (chamado Azure_Sentinel_automation_rules.json) é criado e contém código JSON para todas as regras exportadas.

Importar regras

  1. Tenha um arquivo JSON de modelo do ARM de regra de automação pronto.

  2. No menu de navegação do Microsoft Sentinel, selecione Automação.

  3. Selecione Importar na barra na parte superior da tela. Na caixa de diálogo resultante, acesse o arquivo JSON que representa a regra que você deseja importar, selecione-o e, seguida, escolha Abrir.

    Captura de tela mostrando como importar uma regra de automação.

    Observação

    Você pode importar até 50 regras de automação de um único arquivo de modelo do ARM.

Solução de problemas

Se você tiver problemas ao importar uma regra de automação exportada, consulte a tabela a seguir.

Comportamento (com erro) Motivo Ação sugerida
A regra de automação importada está desabilitada
-and-
A condição de regra de análise da regra exibe "Regra desconhecida"
A regra contém uma condição que se refere a uma regra de análise que não existe no workspace de destino.
  1. Exporte a regra de análise referenciada do workspace original e importe-a para a de destino.
  2. Edite a regra de automação no workspace de destino, escolhendo a regra de análise agora presente na lista suspensa.
  3. Habilite a regra de automação.
A regra de automação importada está desabilitada
-and-
A condição de chave de detalhes personalizados da regra exibe "Chave de detalhes personalizada desconhecida"
A regra contém uma condição que se refere a uma chave de detalhes personalizada que não está definida em nenhuma regra de análise no workspace de destino.
  1. Exporte a regra de análise referenciada do workspace original e importe-a para a de destino.
  2. Edite a regra de automação no workspace de destino, escolhendo a regra de análise agora presente na lista suspensa.
  3. Habilite a regra de automação.
Falha na implantação no workspace de destino, com mensagem de erro: "Falha na implantação das regras de automação."
Os detalhes da implantação contêm os motivos listados na próxima coluna para falha.
O guia estratégico foi movido.
-or-
O guia estratégico foi excluído.
-or-
O workspace de destino não tem acesso ao guia estratégico.
Verifique se o guia estratégico existe e se o workspace de destino tem o acesso certo ao grupo de recursos que contém o guia estratégico.
Falha na implantação no workspace de destino, com mensagem de erro: "Falha na implantação das regras de automação."
Os detalhes da implantação contêm os motivos listados na próxima coluna para falha.
A regra de automação já tinha passado da data de validade definida quando você a importou. Se você quiser que a regra permaneça expirada em seu workspace original:
  1. Edite o arquivo JSON que representa a regra de automação exportada.
  2. Localize a data de validade (que aparece imediatamente após a cadeia de caracteres "expirationTimeUtc":) e substitua-a por uma nova data de validade (no futuro).
  3. Salve o arquivo e importe-o novamente no workspace de destino.
Se você quiser que a regra retorne ao status ativo em seu workspace original:
  1. Edite a regra de automação no workspace original e altere sua data de validade para uma data no futuro.
  2. Exporte a regra novamente do workspace original.
  3. Importe a versão recentemente exportada para o workspace de destino.
Falha na implantação no workspace de destino, com mensagem de erro:
"O arquivo JSON que você tentou importar tem um formato inválido. Verifique o arquivo e tente novamente."
O arquivo importado não é um arquivo JSON válido. Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente a importação novamente.
Falha na implantação no workspace de destino, com mensagem de erro:
"Nenhum recurso encontrado no arquivo. Verifique se o arquivo contém recursos de implantação e tente novamente."
A lista de recursos na chave "recursos" no arquivo JSON está vazia. Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente a importação novamente.

Próximas etapas

Neste documento, você aprendeu a exportar e importar regras de automação de/para modelos do ARM.