Exportar e importar regras de automação de e para modelos ARM
Gerencie suas regras de automação do Microsoft Sentinel como código! Agora você pode exportar suas regras de automação para arquivos de modelo do Azure Resource Manager (ARM) e importar regras desses arquivos, como parte do seu programa para gerenciar e controlar suas implantações do Microsoft Sentinel como código. A ação de exportação cria um arquivo JSON no local de downloads do navegador, que você pode renomear, mover e manipular como qualquer outro arquivo.
O arquivo JSON exportado é independente do espaço de trabalho, portanto, pode ser importado para outros espaços de trabalho e até mesmo para outros locatários. Como código, ele também pode ser controlado por versão, atualizado e implantado em uma estrutura de CI/CD gerenciada.
O arquivo inclui todos os parâmetros definidos na regra de automação. Regras de qualquer tipo de gatilho podem ser exportadas para um arquivo JSON.
Este artigo mostra como exportar e importar regras de automação.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Regras de exportação
No menu de navegação do Microsoft Sentinel, selecione Automação.
Selecione a regra (ou regras — consulte a nota) que deseja exportar e selecione Exportar na barra na parte superior da tela.
Localize o ficheiro exportado na pasta Transferências. Tem o mesmo nome que a regra de automação, com uma extensão .json.
Nota
Você pode selecionar várias regras de automação de uma só vez para exportação marcando as caixas de seleção ao lado das regras e selecionando Exportar no final.
Você pode exportar todas as regras em uma única página da grade de exibição de uma só vez, marcando a caixa de seleção na linha de cabeçalho antes de clicar em Exportar. No entanto, não é possível exportar mais de uma página de regras de cada vez.
Nesse cenário, um único arquivo (chamado Azure_Sentinel_automation_rules.json) é criado e contém código JSON para todas as regras exportadas.
Regras de importação
Tenha um arquivo JSON de modelo ARM de regra de automação pronto.
No menu de navegação do Microsoft Sentinel, selecione Automação.
Selecione Importar na barra na parte superior da tela. Na caixa de diálogo resultante, navegue até o arquivo JSON que representa a regra que você deseja importar, selecione-o e selecione Abrir.
Nota
Você pode importar até 50 regras de automação de um único arquivo de modelo ARM.
Resolução de Problemas
Se você tiver problemas ao importar uma regra de automação exportada, consulte a tabela a seguir.
| Comportamento (com erro) | Razão | Ação sugerida |
|---|---|---|
| A regra de automação importada está desativada -and- A condição da regra de análise da regra exibe "Regra desconhecida" |
A regra contém uma condição que se refere a uma regra de análise que não existe no espaço de trabalho de destino. |
|
| A regra de automação importada está desativada -and- A condição da chave de detalhes personalizados da regra exibe "Chave de detalhes personalizados desconhecida" |
A regra contém uma condição que se refere a uma chave de detalhes personalizada que não está definida em nenhuma regra de análise no espaço de trabalho de destino. |
|
| A implantação falhou no espaço de trabalho de destino, com a mensagem de erro: "Falha na implantação de regras de automação". Os detalhes da implantação contêm os motivos listados na próxima coluna para falha. |
A cartilha foi movida. -or- A cartilha foi apagada. -or- O espaço de trabalho de destino não tem acesso ao playbook. |
Verifique se o playbook existe e se o espaço de trabalho de destino tem o acesso correto ao grupo de recursos que contém o playbook. |
| A implantação falhou no espaço de trabalho de destino, com a mensagem de erro: "Falha na implantação de regras de automação". Os detalhes da implantação contêm os motivos listados na próxima coluna para a falha. |
A regra de automação já havia ultrapassado a data de expiração definida quando você a importou. | Se você quiser que a regra permaneça expirada em seu espaço de trabalho original:
|
| Falha na implantação no espaço de trabalho de destino, com mensagem de erro: "O arquivo JSON que você tentou importar tem um formato inválido. Verifique o ficheiro e tente novamente." |
O arquivo importado não é um arquivo JSON válido. | Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente importar novamente. |
| Falha na implantação no espaço de trabalho de destino, com mensagem de erro: "Nenhum recurso encontrado no arquivo. Verifique se o arquivo contém recursos de implantação e tente novamente." |
A lista de recursos sob a chave "resources" no arquivo JSON está vazia. | Verifique se há problemas no arquivo e tente novamente. Para obter melhores resultados, exporte a regra original novamente para um novo arquivo e tente importar novamente. |
Próximos passos
Neste documento, você aprendeu como exportar e importar regras de automação de e para modelos ARM.
- Saiba mais sobre regras de automação e como criar e trabalhar com elas.
- Saiba mais sobre modelos ARM.