Elemzési szabályok exportálása és importálása ARM-sablonokba és -sablonokból

Fontos

• A szabályok exportálása és importálása előzetes verzióban történik. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Introduction

Mostantól exportálhatja az elemzési szabályokat az Azure Resource Manager-sablonfájlokba, és importálhat szabályokat ezekből a fájlokból a Microsoft Sentinel-környezetek kódként való kezelésének és szabályozásának részeként. Az exportálási művelet létrehoz egy JSON-fájlt (Azure_Sentinel_analytic_rule.json néven) a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.

Az exportált JSON-fájl munkaterületfüggetlen, így importálható más munkaterületekre és akár más bérlőkre is. Kódként verzióvezérelt, frissíthető és üzembe helyezhető felügyelt CI/CD-keretrendszerben is.

A fájl tartalmazza az elemzési szabályban definiált összes paramétert, így az ütemezett szabályok esetében tartalmazza az alapul szolgáló lekérdezést és a hozzá tartozó ütemezési beállításokat, a súlyosságot, az incidensek létrehozását, az esemény- és riasztáscsoportozási beállításokat, a hozzárendelt MITRE ATT&CK taktikákat és egyebeket. Bármilyen típusú elemzési szabály – nem csak ütemezett – exportálható egy JSON-fájlba.

Szabályok exportálása

1. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

2. Jelölje ki az exportálni kívánt szabályt, és kattintson az Exportálás gombra a képernyő tetején lévő sávon.

   

   Megjegyzés:

   • Egyszerre több elemzési szabályt is kijelölhet az exportáláshoz, ha bejelöli a szabályok melletti jelölőnégyzeteket, és a végén az Exportálás gombra kattint.

   • A megjelenítési rács egyetlen oldalán lévő összes szabályt egyszerre exportálhatja úgy, hogy az Exportálás gombra kattintás előtt bejelöli a fejlécsor (Standard kiadás VERITY) jelölőnégyzetét. Nem exportálhat egyszerre több oldalnyi szabályt.

   • Vegye figyelembe, hogy ebben a forgatókönyvben egyetlen (Azure_Sentinel_analytic_rules.json nevű) fájl jön létre, amely az összes exportált szabály JSON-kódját tartalmazza.

Szabályok importálása

1. Készítse fel az elemzési szabály ARM-sablonjához készült JSON-fájlt.

2. A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.

3. Kattintson az Importálás gombra a képernyő tetején lévő sávról. Az eredményként kapott párbeszédpanelen lépjen az importálni kívánt szabályt képviselő JSON-fájlra, és válassza a Megnyitás lehetőséget.

   

   Megjegyzés:

   Egyetlen ARM-sablonfájlból legfeljebb 50 elemzési szabályt importálhat.

További lépések

Ebben a dokumentumban megtanulta, hogyan exportálhat és importálhat elemzési szabályokat ARM-sablonokba és -sablonokból.

• További információ az elemzési szabályokról, beleértve az egyéni ütemezett szabályokat is.
• További információ az ARM-sablonokról.