Поделиться через

Экспорт и импорт правил автоматизации в шаблоны ARM и из них

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Управление правилами автоматизации Microsoft Sentinel в виде кода! Теперь вы можете экспортировать правила автоматизации в файлы шаблонов Azure Resource Manager (ARM) и импортировать правила из этих файлов в рамках программы для управления развертываниями Microsoft Sentinel в виде кода и управления ими. Действие экспорта создает JSON-файл в расположении загрузки браузера, который затем можно переименовать, переместить и иначе обрабатывать как любой другой файл.

Экспортированный JSON-файл не зависит от рабочей области, поэтому его можно импортировать в другие рабочие области и даже другие клиенты. Как код, он также может управляться версиями, обновляться и развертываться в управляемой инфраструктуре CI/CD.

Файл содержит все параметры, определенные в правиле автоматизации. Правила любого типа триггера можно экспортировать в JSON-файл.

В этой статье показано, как экспортировать и импортировать правила автоматизации.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Экспорт правил

  1. В меню навигации Microsoft Sentinel выберите "Автоматизация".

  2. Выберите правило (или правила) вы хотите экспортировать и выберите "Экспорт " в верхней части экрана.

    Снимок экрана: экспорт правила автоматизации.

    Найдите экспортируемый файл в папке downloads. Он имеет то же имя, что и правило автоматизации, с расширением .json.

    Примечание.

    • Вы можете одновременно выбрать несколько правил автоматизации для экспорта, пометив флажки рядом с правилами и выбрав "Экспорт " в конце.

    • Вы можете экспортировать все правила на одной странице сетки отображения одновременно, пометив флажок в строке заголовка перед нажатием кнопки "Экспорт". Но за один раз нельзя экспортировать более одной страницы.

    • В этом сценарии создается один файл (с именем Azure_Sentinel_automation_rules.json) и содержит код JSON для всех экспортированных правил.

Импорт правил

  1. Подготовь файл JSON шаблона ARM правила автоматизации.

  2. В меню навигации Microsoft Sentinel выберите "Автоматизация".

  3. Выберите "Импорт" в верхней части экрана. В открывшемся диалоговом окне перейдите к расположению файла JSON, представляющего правило, которое необходимо импортировать, выберите его и нажмите кнопку Открыть.

    Снимок экрана: импорт правила автоматизации.

    Примечание.

    Правила автоматизации можно импортировать до 50 из одного файла шаблона ARM.

Устранение неполадок

Если у вас возникли проблемы с импортом экспортированного правила автоматизации, ознакомьтесь со следующей таблицей.

Поведение (с ошибкой) Причина Рекомендуемое действие
Импортированное правило автоматизации отключено
-and-
Условие правила аналитики правила правила для анализа правила отображает "Неизвестное правило"		 Правило содержит условие, которое ссылается на правило аналитики, которое не существует в целевой рабочей области.
  1. Экспортируйте указанное правило аналитики из исходной рабочей области и импортируйте его в целевой.
  2. Измените правило автоматизации в целевой рабочей области, выбрав в раскрывающемся списке правило аналитики.
  3. Включите правило автоматизации.
Импортированное правило автоматизации отключено
-and-
Условие ключа пользовательских сведений правила отображает "Неизвестный ключ настраиваемых сведений"		 Правило содержит условие, которое ссылается на пользовательский ключ сведений, который не определен в правилах аналитики в целевой рабочей области.
  1. Экспортируйте указанное правило аналитики из исходной рабочей области и импортируйте его в целевой.
  2. Измените правило автоматизации в целевой рабочей области, выбрав в раскрывающемся списке правило аналитики.
  3. Включите правило автоматизации.
Сбой развертывания в целевой рабочей области с сообщением об ошибке : "Не удалось развернуть правила автоматизации".
Сведения о развертывании содержат причины, перечисленные в следующем столбце для сбоя.		 Сборник схем был перемещен.
-or-
Сборник схем был удален.
-or-
Целевая рабочая область не имеет доступа к сборнику схем.		 Убедитесь, что сборник схем существует, и что целевая рабочая область имеет правильный доступ к группе ресурсов, содержащей сборник схем.
Сбой развертывания в целевой рабочей области с сообщением об ошибке : "Не удалось развернуть правила автоматизации".
Сведения о развертывании содержат причины, перечисленные в следующем столбце для сбоя.		 Правило автоматизации прошло определенной датой окончания срока действия при импорте. Если правило останется истекшим в исходной рабочей области:
  1. Измените JSON-файл, представляющий экспортируемую правило автоматизации.
  2. Найдите дату окончания срока действия (которая отображается сразу после строки "expirationTimeUtc":) и замените ее новой датой окончания срока действия (в будущем).
  3. Сохраните файл и повторно импортируйте его в целевую рабочую область.
Если вы хотите, чтобы правило возвращалось к активному состоянию в исходной рабочей области:
  1. Измените правило автоматизации в исходной рабочей области и измените дату окончания срока действия на дату в будущем.
  2. Экспортируйте правило еще раз из исходной рабочей области.
  3. Импортируйте только что экспортированную версию в целевую рабочую область.
Сбой развертывания в целевой рабочей области с сообщением об ошибке:
"Json-файл, который вы пытались импортировать, имеет недопустимый формат. Проверьте файл и повторите попытку".		 Импортированный файл не является допустимым JSON-файлом. Проверьте файл на наличие проблем и повторите попытку. Для получения наилучших результатов снова экспортируйте исходное правило в новый файл, а затем повторите попытку импорта.
Сбой развертывания в целевой рабочей области с сообщением об ошибке:
"В файле нет ресурсов. Убедитесь, что файл содержит ресурсы развертывания и повторите попытку".		 Список ресурсов в ключе resources в JSON-файле пуст. Проверьте файл на наличие проблем и повторите попытку. Для получения наилучших результатов снова экспортируйте исходное правило в новый файл, а затем повторите попытку импорта.

Следующие шаги

В этом документе вы узнали, как экспортировать и импортировать правила автоматизации в шаблоны ARM и из нее.