Eksportowanie i importowanie reguł analizy do i z szablonów usługi ARM

Ważne

• Eksportowanie i importowanie reguł jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wprowadzenie

Teraz możesz wyeksportować reguły analizy do plików szablonów usługi Azure Resource Manager (ARM) i zaimportować reguły z tych plików w ramach zarządzania wdrożeniami usługi Microsoft Sentinel i kontrolowania ich jako kodu. Akcja eksportu spowoduje utworzenie pliku JSON (o nazwie Azure_Sentinel_analytic_rule.json) w lokalizacji pobierania przeglądarki, którą można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik.

Wyeksportowany plik JSON jest niezależny od obszaru roboczego, więc można go zaimportować do innych obszarów roboczych, a nawet innych dzierżaw. Jako kod można go również kontrolować, aktualizować i wdrażać w zarządzanej strukturze ciągłej integracji/ciągłego wdrażania.

Plik zawiera wszystkie parametry zdefiniowane w regule analizy, dlatego w przypadku reguł zaplanowanych zawiera zapytanie bazowe i towarzyszące mu ustawienia planowania, ważność, tworzenie zdarzeń, ustawienia grupowania zdarzeń i alertów, przypisane taktyki MITRE ATT&CK i nie tylko. Dowolny typ reguły analizy — nie tylko Zaplanowane — można wyeksportować do pliku JSON.

Eksportowanie reguł

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

2. Wybierz regułę, którą chcesz wyeksportować, a następnie kliknij pozycję Eksportuj na pasku w górnej części ekranu.

   

   Uwaga

   • Aby wyeksportować wiele reguł analizy, możesz zaznaczyć pola wyboru obok reguł i kliknąć pozycję Eksportuj na końcu.

   • Wszystkie reguły można wyeksportować na jednej stronie siatki wyświetlania jednocześnie, zaznaczając pole wyboru w wierszu nagłówka (obok pozycji WAŻNOŚĆ) przed kliknięciem pozycji Eksportuj. Jednocześnie nie można eksportować więcej niż jednej strony reguł.

   • Należy pamiętać, że w tym scenariuszu zostanie utworzony pojedynczy plik (o nazwie Azure_Sentinel_analytic_rules.json) i będzie zawierać kod JSON dla wszystkich wyeksportowanych reguł.

Importowanie reguł

1. Przygotuj plik JSON szablonu reguły analizy usługi ARM.

2. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.

3. Kliknij pozycję Importuj na pasku w górnej części ekranu. W wyświetlonym oknie dialogowym przejdź do pliku JSON reprezentującego regułę, którą chcesz zaimportować, i wybierz pozycję Otwórz.

   

   Uwaga

   Można zaimportować maksymalnie 50 reguł analizy z jednego pliku szablonu usługi ARM.

Następne kroki

W tym dokumencie przedstawiono sposób eksportowania i importowania reguł analizy do i z szablonów usługi ARM.

• Dowiedz się więcej o regułach analizy, w tym niestandardowych reguł zaplanowanych.
• Dowiedz się więcej o szablonach usługi ARM.