Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
As deteções personalizadas são agora a melhor forma de criar novas regras no Microsoft Sentinel Microsoft Defender XDR SIEM. Com as deteções personalizadas, pode reduzir os custos de ingestão, obter deteções ilimitadas em tempo real e beneficiar da integração totalmente integrada com Defender XDR dados, funções e ações de remediação com o mapeamento automático de entidades. Para obter mais informações, leia este blogue.
Importante
A exportação e importação de regras está em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Introdução
Agora, pode exportar as regras de análise para Azure Resource Manager ficheiros de modelo (ARM) e importar regras a partir destes ficheiros, como parte da gestão e controlo das implementações Microsoft Sentinel como código. A ação de exportação irá criar um ficheiro JSON (com o nome Azure_Sentinel_analytic_rule.json) na localização de transferências do browser, que, em seguida, pode mudar o nome, mover e processar como qualquer outro ficheiro.
O ficheiro JSON exportado é independente da área de trabalho, pelo que pode ser importado para outras áreas de trabalho e até mesmo para outros inquilinos. Como código, também pode ser controlado por versões, atualizado e implementado numa estrutura CI/CD gerida.
O ficheiro inclui todos os parâmetros definidos na regra de análise, pelo que, para regras agendadas , inclui a consulta subjacente e as respetivas definições de agendamento, a gravidade, a criação de incidentes, as definições de agrupamento de eventos e alertas, as táticas MITRE ATT&CK atribuídas, etc. Qualquer tipo de regra de análise - não apenas Agendada - pode ser exportada para um ficheiro JSON.
Regras de exportação
No menu de navegação Microsoft Sentinel, selecione Análise.
Selecione a regra que pretende exportar e clique em Exportar a partir da barra na parte superior do ecrã.
Nota
Pode selecionar várias regras de análise de uma só vez para exportação marcando as caixas de verificação junto às regras e clicando em Exportar no final.
Pode exportar todas as regras numa única página da grelha de apresentação de uma só vez, marcando a caixa de verificação na linha de cabeçalho (junto a GRAVIDADE) antes de clicar em Exportar. No entanto, não pode exportar mais do que uma página de regras de cada vez.
Tenha em atenção que, neste cenário, será criado um único ficheiro (com o nome Azure_Sentinel_analytic_rules.json) e irá conter código JSON para todas as regras exportadas.
Importar regras
Ter um ficheiro JSON de modelo arm de regra de análise pronto.
No menu de navegação Microsoft Sentinel, selecione Análise.
Clique em Importar a partir da barra na parte superior do ecrã. Na caixa de diálogo resultante, navegue para e selecione o ficheiro JSON que representa a regra que pretende importar e selecione Abrir.
Nota
Pode importar até 50 regras de análise a partir de um único ficheiro de modelo do ARM.
Passos seguintes
Neste documento, aprendeu a exportar e importar regras de análise de e para modelos do ARM.
- Saiba mais sobre regras de análise, incluindo regras agendadas personalizadas.
- Saiba mais sobre os modelos do ARM.