Export a import analytických pravidel do a z šablon ARM

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoftu.

Důležité

Úvod

Teď můžete exportovat analytická pravidla do souborů šablon Azure Resource Manager (ARM) a importovat pravidla z těchto souborů jako součást správy a řízení nasazení Microsoft Sentinelu jako kódu. Akce exportu vytvoří soubor JSON (s názvem Azure_Sentinel_analytic_rule.json) v umístění pro stahování prohlížeče, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor.

Exportovaný soubor JSON je nezávislý na pracovním prostoru, takže ho můžete importovat do jiných pracovních prostorů a dokonce i jiných tenantů. Jako kód je možné ho také spravovat, aktualizovat a nasazovat ve spravovaném rozhraní CI/CD.

Soubor obsahuje všechny parametry definované v analytickém pravidle, takže pro naplánovaná pravidla zahrnuje základní dotaz a jeho doprovodná nastavení plánování, závažnost, vytvoření incidentu, nastavení seskupení událostí a výstrah, přiřazené taktiky MITRE ATTCK& a další. Do souboru JSON je možné exportovat libovolný typ analytického pravidla , nejen naplánované .

Export pravidel

  1. V navigační nabídce Microsoft Sentinelu vyberte Analýza.

  2. Vyberte pravidlo, které chcete exportovat, a klikněte na Exportovat z panelu v horní části obrazovky.

    Export analytics rule

    Poznámka

    • Pro export můžete vybrat více analytických pravidel najednou tak, že zaškrtnete políčka vedle pravidel a kliknete na Exportovat na konci.

    • Všechna pravidla můžete exportovat na jedné stránce mřížky zobrazení najednou zaškrtnutím políčka v řádku záhlaví (vedle závažnosti) před kliknutím na tlačítko Exportovat. Najednou ale nemůžete exportovat více než jednostránkové pravidlo.

    • Mějte na paměti, že v tomto scénáři se vytvoří jeden soubor (s názvem Azure_Sentinel_analytic_rules.json) a bude obsahovat kód JSON pro všechna exportovaná pravidla.

Pravidla importu

  1. Připravte soubor JSON šablony ARM analytického pravidla.

  2. V navigační nabídce Microsoft Sentinelu vyberte Analýza.

  3. Klikněte na Importovat z panelu v horní části obrazovky. Ve výsledném dialogovém okně přejděte na soubor JSON představující pravidlo, které chcete importovat, a vyberte Otevřít.

    Import analytics rule

    Poznámka

    Z jednoho souboru šablony ARM můžete importovat až 50 analytických pravidel.

Další kroky

V tomto dokumentu jste zjistili, jak exportovat a importovat analytická pravidla do a z šablon ARM.