你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 ARM 模板中导出和导入自动化规则
将 Microsoft Sentinel 自动化规则作为代码进行管理! 你现在可以将自动化规则导出到 Azure 资源管理器 (ARM) 模板文件并从这些文件导入规则,作为计划的一部分,以代码形式管理和控制 Microsoft Sentinel 部署。 导出操作将在浏览器的下载位置中创建一个 JSON 文件,然后可以像处理任何其他文件一样对其进行重命名、移动和其他处理。
导出的 JSON 文件是独立于工作区的,因此可以导入到其他工作区,甚至其他租户。 作为代码,它也可以在托管 CI/CD 框架中进行版本控制、更新和部署。
该文件包括自动化规则中定义的所有参数。 任何触发器类型的规则都可以导出到 JSON 文件。
本文介绍如何导出和导入自动化规则。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证即可使用。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
导出规则
从 Microsoft Sentinel 导航菜单中,选择“自动化”。
选择要导出的一个规则(或多个规则 - 请参阅注释),然后在屏幕顶部的栏中选择“导出”。
在“下载”文件夹中找到导出的文件。 该文件与自动化规则同名,但带有 .json 扩展名。
注意
通过标记规则旁边的复选框并选择末尾的“导出”,可以一次性选择多个自动化规则进行导出。
在单击“导出”之前选中标题行中的复选框,可以一次性导出显示网格的单个页面上的所有规则。 不过,一次不能导出多个页面的规则。
在此场景中,将创建单个文件(名为 Azure_Sentinel_automation_rules.json),其中包含所有已导出规则的 JSON 代码。
导入规则
准备好自动化规则 ARM 模板 JSON 文件。
从 Microsoft Sentinel 导航菜单中,选择“自动化”。
在屏幕顶部的栏中选择“导入”。 在生成的对话框中,导航到并选择表示要导入的规则的 JSON 文件,然后选择“打开”。
注意
最多可以从一个 ARM 模板文件导入 50 个自动化规则。
故障排除
如果在导入已导出的自动化规则时遇到任何问题,请查阅下表。
| 行为(出现错误) | 原因 | 建议的操作 |
|---|---|---|
| 导入的自动化规则已禁用 -和- 规则的“分析规则”条件显示“未知规则” |
该规则包含的某个条件引用了目标工作区中不存在的分析规则。 |
|
| 导入的自动化规则已禁用 -和- 规则的“自定义详细信息键”条件显示“未知的自定义详细信息键” |
该规则包含的某个条件引用了目标工作区中的任何分析规则中均未定义的自定义详细信息键。 |
|
| 在目标工作区中部署失败,错误消息为:“无法部署自动化规则。” 部署详细信息的下一列中列出了失败原因。 |
playbook 已被移动。 -或- playbook 已被删除。 -或- 目标工作区无权访问 playbook。 |
确保 playbook 存在,并且目标工作区对包含 playbook 的资源组具有正确的访问权限。 |
| 在目标工作区中部署失败,错误消息为:“无法部署自动化规则。” 部署详细信息的下一列中列出了失败原因。 |
导入自动化规则时,该规则已超出定义的过期日期。 | 如果你希望该规则在其原始工作区中保持过期状态:
|
| 在目标工作区中部署失败,错误消息为: “尝试导入的 JSON 文件格式无效。请检查文件,然后重试。“ |
导入的文件不是有效的 JSON 文件。 | 检查该文件是否有问题,然后重试。 为获得最佳结果,请将原始规则再次导出到新文件,然后重试导入。 |
| 在目标工作区中部署失败,错误消息为: “在该文件中找不到任何资源。请确保该文件包含部署资源,然后重试。“ |
JSON 文件中“resources”键下的资源列表为空。 | 检查该文件是否有问题,然后重试。 为获得最佳结果,请将原始规则再次导出到新文件,然后重试导入。 |
后续步骤
在本文档中,你已了解如何在 ARM 模板中导出和导入自动化规则。
- 详细了解自动化规则以及如何创建和使用自动化规则。
- 了解有关 ARM 模板的详细信息。