Dela via

Exportera och importera automatiseringsregler till och från ARM-mallar

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Hantera dina Microsoft Sentinel-automatiseringsregler som kod! Nu kan du exportera dina automatiseringsregler till ARM-mallfiler (Azure Resource Manager) och importera regler från dessa filer som en del av ditt program för att hantera och kontrollera dina Microsoft Sentinel-distributioner som kod. Exportåtgärden skapar en JSON-fil på webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som alla andra filer.

Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klienter. Som kod kan den också vara versionskontrollerad, uppdaterad och distribuerad i ett hanterat CI/CD-ramverk.

Filen innehåller alla parametrar som definierats i automatiseringsregeln. Regler av valfri utlösartyp kan exporteras till en JSON-fil.

Den här artikeln visar hur du exporterar och importerar automatiseringsregler.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Exportera regler

  1. I navigeringsmenyn i Microsoft Sentinel väljer du Automation.

  2. Välj den regel (eller regler – se anteckning) som du vill exportera och välj Exportera från fältet överst på skärmen.

    Skärmbild som visar hur du exporterar en automatiseringsregel.

    Leta upp den exporterade filen i mappen Nedladdningar. Den har samma namn som automationsregeln, med ett .json-tillägg.

    Kommentar

    • Du kan välja flera automatiseringsregler samtidigt för export genom att markera kryssrutorna bredvid reglerna och välja Exportera i slutet.

    • Du kan exportera alla regler på en enda sida i visningsrutnätet samtidigt genom att markera kryssrutan på rubrikraden innan du klickar på Exportera. Du kan dock inte exportera fler än en sidas regler i taget.

    • I det här scenariot skapas en enda fil (med namnet Azure_Sentinel_automation_rules.json) och innehåller JSON-kod för alla exporterade regler.

Importregler

  1. Ha en ARM-mall-JSON-fil för automationsregeln klar.

  2. I navigeringsmenyn i Microsoft Sentinel väljer du Automation.

  3. Välj Importera i fältet överst på skärmen. I den resulterande dialogrutan navigerar du till och väljer JSON-filen som representerar den regel som du vill importera och väljer Öppna.

    Skärmbild som visar hur du importerar en automatiseringsregel.

    Kommentar

    Du kan importera upp till 50 automatiseringsregler från en enda ARM-mallfil.

Felsökning

Om du har problem med att importera en exporterad automatiseringsregel läser du följande tabell.

Beteende (med fel) Anledning Föreslagna åtgärder
Den importerade automatiseringsregeln är inaktiverad
-and-
Regelns analysregelvillkor visar "Okänd regel"		 Regeln innehåller ett villkor som refererar till en analysregel som inte finns på målarbetsytan.
  1. Exportera den refererade analysregeln från den ursprungliga arbetsytan och importera den till målregeln.
  2. Redigera automatiseringsregeln på målarbetsytan och välj den nu aktuella analysregeln i listrutan.
  3. Aktivera automatiseringsregeln.
Den importerade automatiseringsregeln är inaktiverad
-and-
Regelns nyckelvillkor för anpassad information visar "Okänd anpassad informationsnyckel"		 Regeln innehåller ett villkor som refererar till en anpassad informationsnyckel som inte definieras i några analysregler på målarbetsytan.
  1. Exportera den refererade analysregeln från den ursprungliga arbetsytan och importera den till målregeln.
  2. Redigera automatiseringsregeln på målarbetsytan och välj den nu aktuella analysregeln i listrutan.
  3. Aktivera automatiseringsregeln.
Distributionen misslyckades på målarbetsytan med felmeddelandet: "Automation-reglerna kunde inte distribueras.".
Distributionsinformationen innehåller de orsaker som anges i nästa kolumn för fel.		 Spelboken flyttades.
-or-
Spelboken har tagits bort.
-or-
Målarbetsytan har inte åtkomst till spelboken.		 Kontrollera att spelboken finns och att målarbetsytan har rätt åtkomst till resursgruppen som innehåller spelboken.
Distributionen misslyckades på målarbetsytan med felmeddelandet: "Automation-reglerna kunde inte distribueras.".
Distributionsinformation innehåller de orsaker som anges i nästa kolumn för fel .		 Automatiseringsregeln hade passerat sitt definierade förfallodatum när du importerade den. Om du vill att regeln ska förbli förfallen på den ursprungliga arbetsytan:
  1. Redigera JSON-filen som representerar den exporterade automatiseringsregeln.
  2. Leta reda på förfallodatumet (som visas omedelbart efter strängen "expirationTimeUtc":) och ersätt det med ett nytt förfallodatum (i framtiden).
  3. Spara filen och importera den till målarbetsytan igen.
Om du vill att regeln ska återgå till aktiv status på den ursprungliga arbetsytan:
  1. Redigera automatiseringsregeln på den ursprungliga arbetsytan och ändra dess förfallodatum till ett datum i framtiden.
  2. Exportera regeln igen från den ursprungliga arbetsytan.
  3. Importera den nyligen exporterade versionen till målarbetsytan.
Distributionen misslyckades på målarbetsytan med felmeddelande:
"JSON-filen som du försökte importera har ett ogiltigt format. Kontrollera filen och försök igen."		 Den importerade filen är inte en giltig JSON-fil. Kontrollera om det finns problem i filen och försök igen. För bästa resultat exporterar du den ursprungliga regeln igen till en ny fil och försöker sedan importera igen.
Distributionen misslyckades på målarbetsytan med felmeddelande:
"Inga resurser hittades i filen. Kontrollera att filen innehåller distributionsresurser och försök igen."		 Listan över resurser under nyckeln "resurser" i JSON-filen är tom. Kontrollera om det finns problem i filen och försök igen. För bästa resultat exporterar du den ursprungliga regeln igen till en ny fil och försöker sedan importera igen.

Nästa steg

I det här dokumentet har du lärt dig hur du exporterar och importerar automatiseringsregler till och från ARM-mallar.