Dela via

Exportera och importera analysregler till och från ARM-mallar

  • Artikel

Viktigt!

  • Export och import av regler finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Introduktion

Nu kan du exportera dina analysregler till ARM-mallfiler (Azure Resource Manager) och importera regler från dessa filer som en del av hanteringen och kontrollen av dina Microsoft Sentinel-distributioner som kod. Exportåtgärden skapar en JSON-fil (med namnet Azure_Sentinel_analytic_rule.json) i webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som andra filer.

Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klienter. Som kod kan den också vara versionskontrollerad, uppdaterad och distribuerad i ett hanterat CI/CD-ramverk.

Filen innehåller alla parametrar som definierats i analysregeln, så för schemalagda regler innehåller den den underliggande frågan och dess tillhörande schemaläggningsinställningar, allvarlighetsgrad, skapande av incidenter, inställningar för händelse- och aviseringsgruppering, tilldelad MITRE ATT&CK-taktik med mera. Alla typer av analysregler – inte bara schemalagda – kan exporteras till en JSON-fil.

Exportera regler

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  2. Välj den regel som du vill exportera och klicka på Exportera från fältet överst på skärmen.

    Exportera analysregel

    Kommentar

    • Du kan markera flera analysregler samtidigt för export genom att markera kryssrutorna bredvid reglerna och klicka på Exportera i slutet.

    • Du kan exportera alla regler på en enda sida i visningsrutnätet samtidigt genom att markera kryssrutan på rubrikraden (bredvid ALLVARLIGHETSGRAD) innan du klickar på Exportera. Du kan dock inte exportera fler än en sidas regler i taget.

    • Tänk på att i det här scenariot skapas en enda fil (med namnet Azure_Sentinel_analytic_regler.json) och innehåller JSON-kod för alla exporterade regler.

Importregler

  1. Ha en analysregel för ARM-mallens JSON-fil klar.

  2. På Microsoft Sentinel-navigeringsmenyn väljer du Analys.

  3. Klicka på Importera från fältet överst på skärmen. I den resulterande dialogrutan navigerar du till och väljer JSON-filen som representerar den regel som du vill importera och väljer Öppna.

    Importera analysregel

    Kommentar

    Du kan importera upp till 50 analysregler från en enda ARM-mallfil.

Nästa steg

I det här dokumentet har du lärt dig hur du exporterar och importerar analysregler till och från ARM-mallar.