Exporter et importer des règles d’automatisation vers et depuis des modèles ARM
Gérez vos règles d’automatisation Microsoft Sentinel en tant que code ! Vous pouvez maintenant exporter vos règles d’automatisation vers des fichiers de modèle Azure Resource Manager (ARM) et importer des règles depuis ces fichiers dans le cadre de votre programme de gestion et de contrôle de vos déploiements Microsoft Sentinel en tant que code. L’action d’exportation entraîne la création d’un fichier JSON dans l’emplacement de téléchargement de votre navigateur. Vous pouvez ensuite le renommer, le déplacer et le gérer comme tout autre fichier.
Puisque le fichier JSON exporté est indépendant de l’espace de travail, il peut être importé dans d’autres espaces de travail, voire d’autres locataires. En tant que code, il peut également être contrôlé par version, mis à jour et déployé dans une infrastructure CI/CD managée.
Le fichier inclut tous les paramètres définis dans la règle d’automatisation. Les règles de n’importe quel type de déclencheur peuvent être exportées vers un fichier JSON.
Cet article vous montre comment exporter et importer des règles d’automatisation.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Exporter des règles
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Automatisation.
Sélectionnez la règle (ou les règles, voir note) que vous souhaitez exporter, puis sélectionnez Exporter dans la barre en haut de l’écran.
Recherchez le fichier exporté dans votre dossier Téléchargements. Il a le même nom que la règle d’automatisation, avec une extension .json.
Remarque
Vous pouvez sélectionner plusieurs règles d’automatisation à la fois pour l’exportation en cochant les cases en regard des règles et en sélectionnant Exporter à la fin.
Vous pouvez exporter toutes les règles sur une seule page de la grille d’affichage en une fois en cochant la case dans la ligne d’en-tête avant de cliquer sur Exporter. Toutefois, vous ne pouvez pas exporter plus d’une page complète de règles à la fois.
Dans ce scénario, un seul fichier (nommé Azure_Sentinel_automation_rules.json) est créé et contient du code JSON pour toutes les règles exportées.
Importer des règles
Préparez un fichier JSON de modèle ARM de règle d’automatisation.
Dans le menu de navigation de Microsoft Sentinel, sélectionnez Automatisation.
Sélectionnez Importer dans la barre en haut de l’écran. Dans la boîte de dialogue qui s’affiche, accédez au fichier JSON représentant la règle que vous souhaitez importer et sélectionnez-le, puis cliquez sur Ouvrir.
Remarque
Vous pouvez importer jusqu’à 50 règles d’automatisation à partir d’un seul fichier de modèle ARM.
Dépannage
Si vous rencontrez des problèmes lors de l’importation d’une règle d’automatisation exportée, consultez le tableau suivant.
| Comportement (avec erreur) | Motif | Action suggérée |
|---|---|---|
| La règle d’automatisation importée est désactivée -and- La condition règle d’analyse de la règle affiche « Règle inconnue » |
La règle contient une condition qui fait référence à une règle d’analyse qui n’existe pas dans l’espace de travail cible. |
|
| La règle d’automatisation importée est désactivée -and- la condition clé de détails personnalisée de la règle affiche « Clé de détails personnalisée inconnue » |
La règle contient une condition qui fait référence à une clé de détails personnalisée qui n’est définie dans aucune règle d’analyse de l’espace de travail cible. |
|
| Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Les règles d’automatisation n’ont pas pu être déployées. » Les détails du déploiement contiennent les raisons répertoriées dans la colonne suivante en cas d’échec. |
Le playbook a été déplacé. -ou- Le playbook a été supprimé. -ou- L’espace de travail cible n’a pas accès au playbook. |
Vérifiez que le playbook existe et que l’espace de travail cible dispose du droit d’accès au groupe de ressources qui contient le playbook. |
| Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Les règles d’automatisation n’ont pas pu être déployées. » Les détails du déploiement contiennent les raisons répertoriées dans la colonne suivante en cas d’échec. |
La règle d’automatisation a dépassé sa date d’expiration définie lorsque vous l’avez importée. | Si vous souhaitez que la règle reste expirée dans son espace de travail d’origine :
|
| Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Le fichier JSON que vous avez tenté d’importer a un format non valide. Veuillez vérifier le fichier et réessayer. » |
Le fichier importé n’est pas un fichier JSON valide. | Vérifiez si le fichier contient des problèmes et réessayez. Pour obtenir de meilleurs résultats, exportez à nouveau la règle d’origine vers un nouveau fichier, puis réessayez d’importer. |
| Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Aucune ressource trouvée dans le fichier. Vérifiez que le fichier contient des ressources de déploiement et réessayez. » |
La liste des ressources sous la clé « resources » dans le fichier JSON est vide. | Vérifiez si le fichier contient des problèmes et réessayez. Pour obtenir de meilleurs résultats, exportez à nouveau la règle d’origine vers un nouveau fichier, puis réessayez d’importer. |
Étapes suivantes
Dans ce document, vous avez appris à exporter et importer des règles d’automatisation vers et à partir de modèles ARM.
- Découvrez-en plus sur les règles d’automatisation et comment créer et utiliser des règles d’automatisation.
- En savoir plus sur les modèles ARM.