Exportar e importar regras de análise de e para modelos ARM

Importante

• As regras de exportação e importação estão em PREVIEW. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Introdução

Agora você pode exportar suas regras de análise para arquivos de modelo do Azure Resource Manager (ARM) e importar regras desses arquivos, como parte do gerenciamento e controle de suas implantações do Microsoft Sentinel como código. A ação de exportação criará um arquivo JSON (chamado Azure_Sentinel_analytic_rule.json) no local de downloads do navegador, que você pode renomear, mover e manipular como qualquer outro arquivo.

O arquivo JSON exportado é independente do espaço de trabalho, portanto, pode ser importado para outros espaços de trabalho e até mesmo para outros locatários. Como código, ele também pode ser controlado por versão, atualizado e implantado em uma estrutura de CI/CD gerenciada.

O arquivo inclui todos os parâmetros definidos na regra de análise, portanto, para regras agendadas , inclui a consulta subjacente e as configurações de agendamento que a acompanham, a gravidade, a criação de incidentes, as configurações de agrupamento de eventos e alertas, as táticas MITRE ATT&CK atribuídas e muito mais. Qualquer tipo de regra de análise - não apenas Agendada - pode ser exportada para um arquivo JSON.

Regras de exportação

1. No menu de navegação do Microsoft Sentinel, selecione Analytics.

2. Selecione a regra que deseja exportar e clique em Exportar na barra na parte superior da tela.

   

   Nota

   • Você pode selecionar várias regras de análise de uma só vez para exportação marcando as caixas de seleção ao lado das regras e clicando em Exportar no final.

   • Você pode exportar todas as regras em uma única página da grade de exibição de uma só vez, marcando a caixa de seleção na linha de cabeçalho (ao lado de SEVERITY) antes de clicar em Exportar. No entanto, não é possível exportar mais de uma página de regras de cada vez.

   • Lembre-se de que, nesse cenário, um único arquivo (chamado Azure_Sentinel_analytic_regras.json) será criado e conterá código JSON para todas as regras exportadas.

Regras de importação

1. Tenha um arquivo JSON de modelo ARM de regra de análise pronto.

2. No menu de navegação do Microsoft Sentinel, selecione Analytics.

3. Clique em Importar na barra na parte superior da tela. Na caixa de diálogo resultante, navegue até o arquivo JSON que representa a regra que você deseja importar, selecione-o e selecione Abrir.

   

   Nota

   Você pode importar até 50 regras de análise de um único arquivo de modelo ARM.

Próximos passos

Neste documento, você aprendeu como exportar e importar regras de análise de e para modelos ARM.

• Saiba mais sobre regras de análise, incluindo regras agendadas personalizadas.
• Saiba mais sobre modelos ARM.