Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Anpassade identifieringar är nu det bästa sättet att skapa nya regler i Microsoft Sentinel SIEM-Microsoft Defender XDR. Med anpassade identifieringar kan du minska kostnaderna för inmatning, få obegränsade identifieringar i realtid och dra nytta av sömlös integrering med Defender XDR data, funktioner och reparationsåtgärder med automatisk entitetsmappning. Mer information finns i den här bloggen.
Viktigt
Export och import av regler finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Inledning
Nu kan du exportera dina analysregler till Azure Resource Manager (ARM)-mallfiler och importera regler från dessa filer som en del av hanteringen och kontrollen av dina Microsoft Sentinel distributioner som kod. Exportåtgärden skapar en JSON-fil (med namnet Azure_Sentinel_analytic_rule.json) i webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som andra filer.
Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klientorganisationer. Som kod kan den också versionskontrolleras, uppdateras och distribueras i ett hanterat CI/CD-ramverk.
Filen innehåller alla parametrar som definierats i analysregeln, så för Schemalagda regler innehåller den den underliggande frågan och tillhörande schemaläggningsinställningar, allvarlighetsgrad, incidentskapande, händelse- och aviseringsgrupperingsinställningar, tilldelad MITRE ATT&CK-taktik med mera. Alla typer av analysregler – inte bara schemalagda – kan exporteras till en JSON-fil.
Exportera regler
På navigeringsmenyn Microsoft Sentinel väljer du Analys.
Välj den regel som du vill exportera och klicka på Exportera i fältet överst på skärmen.
Obs!
Du kan välja flera analysregler samtidigt för export genom att markera kryssrutorna bredvid reglerna och klicka på Exportera i slutet.
Du kan exportera alla regler på en enda sida i rutnätet samtidigt genom att markera kryssrutan på rubrikraden (bredvid ALLVARLIGHETSGRAD) innan du klickar på Exportera. Du kan dock inte exportera fler än en sidas regler i taget.
Tänk på att i det här scenariot skapas en enda fil (med namnet Azure_Sentinel_analytic_rules.json) och innehåller JSON-kod för alla exporterade regler.
Importera regler
Ha en analysregel för ARM-mallens JSON-fil klar.
På navigeringsmenyn Microsoft Sentinel väljer du Analys.
Klicka på Importera från fältet överst på skärmen. I den resulterande dialogrutan navigerar du till och väljer JSON-filen som representerar den regel som du vill importera och väljer Öppna.
Obs!
Du kan importera upp till 50 analysregler från en enda ARM-mallfil.
Nästa steg
I det här dokumentet har du lärt dig hur du exporterar och importerar analysregler till och från ARM-mallar.
- Läs mer om analysregler, inklusive anpassade schemalagda regler.
- Läs mer om ARM-mallar.