Analyseregels exporteren en importeren van en naar ARM-sjablonen

Belangrijk

• Exporteren en importeren van regels bevindt zich in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Inleiding

U kunt nu uw analyseregels exporteren naar ARM-sjabloonbestanden (Azure Resource Manager) en regels importeren uit deze bestanden, als onderdeel van het beheren en beheren van uw Microsoft Sentinel-implementaties als code. Met de exportactie maakt u een JSON-bestand (met de naam Azure_Sentinel_analytic_rule.json) in de downloadlocatie van uw browser, die u vervolgens kunt wijzigen, verplaatsen en anders kunt afhandelen zoals elk ander bestand.

Het geëxporteerde JSON-bestand is werkruimte-onafhankelijk, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.

Het bestand bevat alle parameters die zijn gedefinieerd in de analyseregel, dus voor geplande regels bevat het de onderliggende query en de bijbehorende planningsinstellingen, de ernst, het maken van incidenten, instellingen voor gebeurtenis- en waarschuwingsgroepering, toegewezen MITRE ATT&CK-tactieken en meer. Elk type analyseregel, niet alleen Gepland , kan worden geëxporteerd naar een JSON-bestand.

Exportregels

1. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

2. Selecteer de regel die u wilt exporteren en klik op Exporteren vanaf de balk boven aan het scherm.

   

   Notitie

   • U kunt meerdere analyseregels tegelijk selecteren voor export door de selectievakjes naast de regels te markeren en aan het einde op Exporteren te klikken.

   • U kunt alle regels op één pagina van het weergaveraster tegelijk exporteren door het selectievakje in de veldnamenrij (naast ERNST) te markeren voordat u op Exporteren klikt. U kunt echter niet meer dan één pagina aan regels tegelijk exporteren.

   • Houd er rekening mee dat in dit scenario één bestand (met de naam Azure_Sentinel_analytic_rules.json) wordt gemaakt en JSON-code bevat voor alle geëxporteerde regels.

Importregels

1. Zorg ervoor dat een ARM-sjabloon JSON-bestand gereed is voor analyseregels.

2. Selecteer Analytics in het navigatiemenu van Microsoft Sentinel.

3. Klik op Importeren vanaf de balk boven aan het scherm. Navigeer in het resulterende dialoogvenster naar het JSON-bestand dat de regel vertegenwoordigt die u wilt importeren en selecteer Openen.

   

   Notitie

   U kunt maximaal 50 analyseregels importeren uit één ARM-sjabloonbestand.

Volgende stappen

In dit document hebt u geleerd hoe u analyseregels naar en van ARM-sjablonen exporteert en importeert.

• Meer informatie over analyseregels, waaronder aangepaste geplande regels.
• Meer informatie over ARM-sjablonen.