Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Vigtigt!
Brugerdefinerede registreringer er nu den bedste måde at oprette nye regler på tværs af Microsoft Sentinel SIEM-Microsoft Defender XDR. Med brugerdefinerede registreringer kan du reducere omkostningerne til indtagelse, få ubegrænsede registreringer i realtid og drage fordel af problemfri integration med Defender XDR data, funktioner og afhjælpningshandlinger med automatisk enhedstilknytning. Du kan få flere oplysninger ved at læse denne blog.
Vigtigt!
Eksport og import af regler findes i PRØVEVERSION. Se de supplerende vilkår for anvendelse for Microsoft Azure-prøveversioner for at få yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Introduktion
Du kan nu eksportere dine analyseregler til Azure Resource Manager (ARM)-skabelonfiler og importere regler fra disse filer som en del af administration og styring af dine Microsoft Sentinel udrulninger som kode. Eksporthandlingen opretter en JSON-fil (med navnet Azure_Sentinel_analytic_rule.json) på din browsers downloadplacering, som du derefter kan omdøbe, flytte og på anden måde håndtere som enhver anden fil.
Den eksporterede JSON-fil er uafhængig af arbejdsområder, så den kan importeres til andre arbejdsområder og endda andre lejere. Som kode kan den også styres versionsstyring, opdateres og installeres i en administreret CI/CD-struktur.
Filen indeholder alle de parametre, der er defineret i analysereglen, så for planlagte regler indeholder den den underliggende forespørgsel og de tilhørende planlægningsindstillinger, alvorsgraden, oprettelsen af hændelser, indstillinger for gruppering af hændelser og beskeder, tildelte MITRE ATT-&CK-taktikker og meget mere. Alle typer analyseregel – ikke kun Planlagt – kan eksporteres til en JSON-fil.
Eksportér regler
Vælg Analytics i navigationsmenuen Microsoft Sentinel.
Vælg den regel, du vil eksportere, og klik på Eksportér på linjen øverst på skærmen.
Bemærk!
Du kan vælge flere analyseregler på én gang til eksport ved at markere afkrydsningsfelterne ud for reglerne og klikke på Eksportér til sidst.
Du kan eksportere alle reglerne på en enkelt side i visningsgitteret på én gang ved at markere afkrydsningsfeltet i overskriftsrækken (ud for ALVORSGRAD), før du klikker på Eksportér. Du kan dog ikke eksportere mere end én sides regler ad gangen.
Vær opmærksom på, at der i dette scenarie oprettes en enkelt fil (kaldet Azure_Sentinel_analytic_regler.json) og indeholder JSON-kode for alle de eksporterede regler.
Importér regler
Få en JSON-skabelonfil til en ARM-analyseregel klar.
Vælg Analytics i navigationsmenuen Microsoft Sentinel.
Klik på Importér fra linjen øverst på skærmen. I den dialogboks, der åbnes, skal du navigere til og vælge den JSON-fil, der repræsenterer den regel, du vil importere, og vælge Åbn.
Bemærk!
Du kan importere op til 50 analyseregler fra en enkelt ARM-skabelonfil.
Næste trin
I dette dokument har du lært, hvordan du eksporterer og importerer analyseregler til og fra ARM-skabeloner.
- Få mere at vide om analyseregler, herunder brugerdefinerede planlagte regler.
- Få mere at vide om ARM-skabeloner.