トレーニング
認定資格
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender を使って、脅威の調査、検索、軽減を行います。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
重要
Microsoft Sentinel デプロイをコードとして管理および制御する一環として、分析ルールを Azure Resource Manager (ARM) テンプレート ファイルからエクスポートし、それらのルールを同様のファイルにインポートできます。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイル (Azure_Sentinel_analytic_rule.json という名前) が作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。
エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。
ファイルには、分析ルールで定義されているすべてのパラメーターが含まれます。そのため、Scheduled ルールの場合は、基本的なクエリに加え、それに付随するスケジュール設定、重大度、インシデントの作成、イベントとアラートのグループ化設定、割り当てられた MITRE ATT&CK 戦術なども含まれます。 Scheduled だけでなく、すべての種類の分析ルールを JSON ファイルにエクスポートできます。
Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。
エクスポートするルールを選択し、画面の上部にあるバーから [エクスポート] をクリックします。
注意
エクスポートに対して一度に複数の分析ルールを選択するには、ルールの横にあるチェック ボックスをオンにし、最後に [エクスポート] をクリックします。
[エクスポート] をクリックする前に、ヘッダー行 ( [重大度] の横) のチェック ボックスをオンにすることで、表示グリッド 1 ページにあるすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。
このシナリオでは、1 つのファイル (Azure_Sentinel_analytic_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードがそのファイルに書き込まれます。
分析ルールの ARM テンプレート JSON ファイルを準備します。
Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。
画面上部にあるバーから [インポート] をクリックします。 表示されるダイアログ ボックスで、インポートするルールが含まれる JSON ファイルに移動して選択し、 [開く] を選択します。
注意
1 つの ARM テンプレート ファイルから最大 50 個の分析ルールをインポートできます。
このドキュメントでは、ARM テンプレート間で分析ルールをエクスポートおよびインポートする方法について学習しました。
トレーニング
認定資格
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender を使って、脅威の調査、検索、軽減を行います。