Condividi tramite

Esportare e importare regole di analisi da e verso modelli di Resource Manager

  • Articolo

Importante

  • L'esportazione e l'importazione di regole sono in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Introduzione

È ora possibile esportare le regole di analisi nei file modello di Azure Resource Manager (ARM) e importare regole da questi file, come parte della gestione e del controllo delle distribuzioni di Microsoft Sentinel come codice. L'azione di esportazione creerà un file JSON (denominato Azure_Sentinel_analytic_rule.json) nel percorso di download del browser, che sarà quindi possibile rinominare, spostare e gestire in altro modo come qualsiasi altro file.

Il file JSON esportato è indipendente dall'area di lavoro, quindi può essere importato in altre aree di lavoro e anche in altri tenant. Come codice, può anche essere controllato dalla versione, aggiornato e distribuito in un framework CI/CD gestito.

Il file include tutti i parametri definiti nella regola di analisi, quindi per le regole pianificate include la query sottostante e le relative impostazioni di pianificazione, la gravità, la creazione degli eventi imprevisti, le impostazioni di raggruppamento di eventi e avvisi, le tattiche MITRE ATT&CK assegnate e altro ancora. Qualsiasi tipo di regola di analisi, non solo pianificata , può essere esportata in un file JSON.

Regole di esportazione

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare la regola da esportare e fare clic su Esporta dalla barra nella parte superiore della schermata.

    Export analytics rule

    Nota

    • È possibile selezionare più regole di analisi contemporaneamente per l'esportazione contrassegnando le caselle di controllo accanto alle regole e facendo clic su Esporta alla fine.

    • È possibile esportare tutte le regole in una singola pagina della griglia di visualizzazione contemporaneamente, contrassegnando la casella di controllo nella riga di intestazione (accanto a edizione Standard VERITY) prima di fare clic su Esporta. Tuttavia, non è possibile esportare più di una pagina di regole alla volta.

    • Tenere presente che in questo scenario verrà creato un singolo file (denominato Azure_Sentinel_analytic_rules.json) e conterrà codice JSON per tutte le regole esportate.

Importare le regole

  1. È possibile preparare un file JSON del modello arm delle regole di analisi.

  2. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  3. Fare clic su Importa dalla barra nella parte superiore della schermata. Nella finestra di dialogo risultante passare a e selezionare il file JSON che rappresenta la regola da importare e selezionare Apri.

    Import analytics rule

    Nota

    È possibile importare fino a 50 regole di analisi da un singolo file di modello di Resource Manager.

Passaggi successivi

In questo documento si è appreso come esportare e importare regole di analisi da e verso modelli di Resource Manager.

  • Altre informazioni sulle regole di analisi, incluse le regole pianificate personalizzate.
  • Altre informazioni sui modelli di Resource Manager.