ARM テンプレート間で分析ルールをエクスポートおよびインポートします

重要

• ルールのエクスポートとインポートはプレビュー中です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

はじめに

Microsoft Sentinel デプロイをコードとして管理および制御する一環として、分析ルールを Azure Resource Manager (ARM) テンプレート ファイルからエクスポートし、それらのルールを同様のファイルにインポートできます。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイル (Azure_Sentinel_analytic_rule.json という名前) が作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。

エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。

ファイルには、分析ルールで定義されているすべてのパラメーターが含まれます。そのため、Scheduled ルールの場合は、基本的なクエリに加え、それに付随するスケジュール設定、重大度、インシデントの作成、イベントとアラートのグループ化設定、割り当てられた MITRE ATT&CK 戦術なども含まれます。 Scheduled だけでなく、すべての種類の分析ルールを JSON ファイルにエクスポートできます。

ルールのエクスポート

1. Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。

2. エクスポートするルールを選択し、画面の上部にあるバーから [エクスポート] をクリックします。

   

   Note

   • エクスポートに対して一度に複数の分析ルールを選択するには、ルールの横にあるチェック ボックスをオンにし、最後に [エクスポート] をクリックします。

   • [エクスポート] をクリックする前に、ヘッダー行 ( [重大度] の横) のチェック ボックスをオンにすることで、表示グリッド 1 ページにあるすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。

   • このシナリオでは、1 つのファイル (Azure_Sentinel_analytic_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードがそのファイルに書き込まれます。

ルールのインポート

1. 分析ルールの ARM テンプレート JSON ファイルを準備します。

2. Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。

3. 画面上部にあるバーから [インポート] をクリックします。 表示されるダイアログ ボックスで、インポートするルールが含まれる JSON ファイルに移動して選択し、 [開く] を選択します。

   

   Note

   1 つの ARM テンプレート ファイルから最大 50 個の分析ルールをインポートできます。

次のステップ

このドキュメントでは、ARM テンプレート間で分析ルールをエクスポートおよびインポートする方法について学習しました。

• カスタム スケジュール済みルールを含む、分析ルールの詳細を確認します。
• ARM テンプレートの詳細を確認します。