ARM şablonlarına ve arm şablonlarından analiz kurallarını dışarı ve içeri aktarma
Önemli
- Kuralları dışarı ve içeri aktarma ÖNIZLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Giriş
Artık analiz kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarabilir ve Microsoft Sentinel dağıtımlarınızı kod olarak yönetme ve denetlemenin bir parçası olarak bu dosyalardan kuralları içeri aktarabilirsiniz. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda bir JSON dosyası (Azure_Sentinel_analytic_rule.json olarak adlandırılır) oluşturur ve bu dosyayı başka bir dosya gibi yeniden adlandırabilir, taşıyabilir ve başka şekilde işleyebilirsiniz.
Dışarı aktarılan JSON dosyası çalışma alanından bağımsızdır, bu nedenle diğer çalışma alanlarına ve hatta diğer kiracılara aktarılabilir. Kod olarak, yönetilen bir CI/CD çerçevesinde sürüm denetimi, güncelleştirme ve dağıtım da yapılabilir.
Dosya analiz kuralında tanımlanan tüm parametreleri içerir, dolayısıyla Zamanlanmış kurallar için temel sorguyu ve buna eşlik eden zamanlama ayarlarını, önem derecesi, olay oluşturma, olay ve uyarı gruplandırma ayarlarını, atanmış MITRE ATT&CK taktiklerini ve daha fazlasını içerir. Yalnızca Zamanlanmış değil, her tür analiz kuralı bir JSON dosyasına aktarılabilir.
Kuralları dışarı aktarma
Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Dışarı aktarmak istediğiniz kuralı seçin ve ekranın üst kısmındaki çubuktan Dışarı Aktar'a tıklayın.
Dekont
Dışarı aktarma için, kuralların yanındaki onay kutularını işaretleyip sonunda Dışarı Aktar'a tıklayarak aynı anda birden çok analiz kuralı seçebilirsiniz.
Dışarı Aktar'a tıklamadan önce üst bilgi satırındaki (ÖNEM Derecesi'nin yanındaki) onay kutusunu işaretleyerek tüm kuralları görüntüleme kılavuzunun tek bir sayfasındaki tek seferde dışarı aktarabilirsiniz. Ancak, aynı anda birden fazla sayfaya ait kuralları dışarı aktaramazsınız.
Bu senaryoda, tek bir dosyanın (Azure_Sentinel_analytic_rules.json adlı) oluşturulacağını ve dışarı aktarılan tüm kurallar için JSON kodu içereceğini unutmayın.
kuralları içeri aktarma
Analiz kuralı ARM şablonu JSON dosyasını hazır bulundurun.
Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Ekranın üst kısmındaki çubuktan İçeri Aktar'a tıklayın. Sonuçta elde edilen iletişim kutusunda, içeri aktarmak istediğiniz kuralı temsil eden JSON dosyasına gidip seçin ve Aç'ı seçin.
Dekont
Tek bir ARM şablon dosyasından en fazla 50 analiz kuralı içeri aktarabilirsiniz.
Sonraki adımlar
Bu belgede, ARM şablonlarına ve arm şablonlarından analiz kurallarını dışarı ve içeri aktarmayı öğrendiniz.
- Özel zamanlanmış kurallar da dahil olmak üzere analiz kuralları hakkında daha fazla bilgi edinin.
- ARM şablonları hakkında daha fazla bilgi edinin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin