Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
I rilevamenti personalizzati sono ora il modo migliore per creare nuove regole in Microsoft Sentinel Microsoft Defender XDR SIEM. Con i rilevamenti personalizzati, è possibile ridurre i costi di inserimento, ottenere rilevamenti in tempo reale illimitati e trarre vantaggio dall'integrazione senza problemi con dati, funzioni e azioni di correzione Defender XDR con il mapping automatico delle entità. Per altre informazioni, leggere questo blog.
Importante
L'esportazione e l'importazione di regole sono disponibili in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.
Introduzione
È ora possibile esportare le regole di analisi in file modello Azure Resource Manager (ARM) e importare regole da questi file nell'ambito della gestione e del controllo delle distribuzioni Microsoft Sentinel come codice. L'azione di esportazione creerà un file JSON (denominato Azure_Sentinel_analytic_rule.json) nel percorso di download del browser, che sarà quindi possibile rinominare, spostare e gestire come qualsiasi altro file.
Il file JSON esportato è indipendente dall'area di lavoro, quindi può essere importato in altre aree di lavoro e anche in altri tenant. Come codice, può anche essere controllato dalla versione, aggiornato e distribuito in un framework CI/CD gestito.
Il file include tutti i parametri definiti nella regola di analisi, quindi per le regole pianificate include la query sottostante e le relative impostazioni di pianificazione, la gravità, la creazione di eventi imprevisti, le impostazioni di raggruppamento di eventi e avvisi, le tattiche MITRE ATT assegnate&CK e altro ancora. Qualsiasi tipo di regola di analisi, non solo pianificata , può essere esportata in un file JSON.
Regole di esportazione
Dal menu di spostamento Microsoft Sentinel selezionare Analisi.
Selezionare la regola da esportare e fare clic su Esporta dalla barra nella parte superiore della schermata.
Nota
È possibile selezionare più regole di analisi contemporaneamente per l'esportazione contrassegnando le caselle di controllo accanto alle regole e facendo clic su Esporta alla fine.
È possibile esportare tutte le regole in una singola pagina della griglia di visualizzazione contemporaneamente contrassegnando la casella di controllo nella riga di intestazione (accanto a SEVERITY) prima di fare clic su Esporta. Tuttavia, non è possibile esportare più di una pagina di regole alla volta.
Tenere presente che in questo scenario verrà creato un singolo file (denominato Azure_Sentinel_analytic_rules.json) e conterrà codice JSON per tutte le regole esportate.
Regole di importazione
Fare in modo che un file JSON del modello arm della regola di analisi sia pronto.
Dal menu di spostamento Microsoft Sentinel selezionare Analisi.
Fare clic su Importa dalla barra nella parte superiore della schermata. Nella finestra di dialogo risultante passare a e selezionare il file JSON che rappresenta la regola da importare e selezionare Apri.
Nota
È possibile importare fino a 50 regole di analisi da un singolo file di modello di Arm.
Passaggi successivi
In questo documento si è appreso come esportare e importare regole di analisi da e verso i modelli di Arm.
- Altre informazioni sulle regole di analisi, incluse le regole pianificate personalizzate.
- Altre informazioni sui modelli di Resource Manager.