Exportación de reglas de análisis a plantillas de ARM y su importación desde

Importante

• La exportación e importación de reglas se encuentra en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Introducción

Ahora puede exportar las reglas de análisis a archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos como parte de la administración y el control de las implementaciones de Microsoft Sentinel como código. La acción de exportación creará un archivo JSON (denominado Azure_Sentinel_analytic_rule.json) en la ubicación de descargas del explorador, que luego puede cambiar el nombre, mover y controlar de otra manera, como cualquier otro archivo.

El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.

El archivo incluye todos los parámetros definidos en la regla de análisis, por lo que para las reglas Programadas incluye la consulta subyacente y la configuración de programación que lo acompaña, la gravedad, la creación de incidentes, la configuración de la agrupación de eventos y alertas, las tácticas de MITRE ATT&CK asignadas, etc. Cualquier tipo de regla de análisis, no solo Programada se puede exportar a un archivo JSON.

Exportación de reglas

1. En el menú de navegación de Microsoft Sentinel, seleccione Análisis.

2. Seleccione la regla que desea exportar y haga clic en Exportar en la barra de la parte superior de la pantalla.

   

   Nota

   • Para seleccionar varias reglas de análisis a la vez para la exportación, marque las casillas situadas junto a las reglas y haga clic en Exportar al final.

   • Puede exportar todas las reglas de una sola página de la cuadrícula de presentación a la vez, marcando la casilla de la fila de encabezado (junto a GRAVEDAD) antes de hacer clic en Exportar. Sin embargo, no se pueden exportar más reglas que las de una página a la vez.

   • Tenga en cuenta que, en este escenario, se creará un único archivo (denominado Azure_Sentinel_analytic_rules.json) y contendrá código JSON para todas las reglas exportadas.

Importación de reglas

1. Tenga listo un archivo JSON de plantilla de ARM de reglas de análisis.

2. En el menú de navegación de Microsoft Sentinel, seleccione Análisis.

3. Haga clic en Importar en la barra de la parte superior de la pantalla. En el cuadro de diálogo resultante, vaya al archivo JSON que representa la regla que quiere importar y selecciónelo; a continuación, seleccione Abrir.

   

   Nota

   Puede importar hasta 50 reglas de análisis desde un único archivo de plantilla de ARM.

Pasos siguientes

En este documento, ha aprendido a exportar reglas de análisis a plantillas de ARM e importarlas desde ellas.

• Obtenga más información sobre las reglas de análisis, incluidas las reglas programadas personalizadas.
• Más información sobre plantillas de ARM.