Export a import analytických pravidel do a z šablon ARM

Důležité

• Export a import pravidel je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Úvod

Analytická pravidla teď můžete exportovat do souborů šablon Azure Resource Manageru (ARM) a importovat pravidla z těchto souborů jako součást správy a řízení nasazení Microsoft Sentinelu jako kódu. Akce exportu vytvoří soubor JSON (pojmenovaný Azure_Sentinel_analytic_rule.json) v umístění pro stahování v prohlížeči, který pak můžete přejmenovat, přesunout a jinak zpracovat stejně jako jakýkoli jiný soubor.

Exportovaný soubor JSON je nezávislý na pracovním prostoru, takže ho můžete importovat do jiných pracovních prostorů a dokonce i jiných tenantů. Jako kód se dá také řídit verzemi, aktualizovat a nasadit v rámci spravované architektury CI/CD.

Soubor obsahuje všechny parametry definované v analytickém pravidle, takže pro naplánovaná pravidla zahrnuje základní dotaz a jeho doprovodná nastavení plánování, závažnost, vytvoření incidentu, nastavení seskupení událostí a výstrah, přiřazené taktiky MITRE ATT&CK a další. Do souboru JSON je možné exportovat jakýkoli typ analytického pravidla , nejen naplánované .

Export pravidel

1. V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

2. Vyberte pravidlo, které chcete exportovat, a v horní části obrazovky klikněte na Exportovat .

   

   Poznámka:

   • Pro export můžete vybrat více analytických pravidel najednou tak, že zaškrtnete políčka vedle pravidel a kliknete na Exportovat na konci.

   • Všechna pravidla můžete exportovat na jedné stránce mřížky zobrazení najednou zaškrtnutím políčka v řádku záhlaví (vedle ZÁVAŽNOSTI) před kliknutím na Exportovat. Nemůžete ale exportovat více než jednostráňové pravidla najednou.

   • Mějte na paměti, že v tomto scénáři se vytvoří jeden soubor (s názvem Azure_Sentinel_analytic_rules.json) a bude obsahovat kód JSON pro všechna exportovaná pravidla.

Pravidla importu

1. Připravte soubor JSON šablony ARM analytického pravidla.

2. V navigační nabídce Služby Microsoft Sentinel vyberte Analýza.

3. Klikněte na Importovat z panelu v horní části obrazovky. Ve výsledném dialogovém okně přejděte na soubor JSON představující pravidlo, které chcete importovat, a vyberte Otevřít.

   

   Poznámka:

   Z jednoho souboru šablony ARM můžete importovat až 50 analytických pravidel.

Další kroky

V tomto dokumentu jste zjistili, jak exportovat a importovat analytická pravidla do a z šablon ARM.

• Přečtěte si další informace o analytických pravidlech, včetně vlastních naplánovaných pravidel.
• Přečtěte si další informace o šablonách ARM.