在 ARM 模板中导出和导入分析规则

重要

自定义检测现在是跨 Microsoft Sentinel SIEM Microsoft Defender XDR 创建新规则的最佳方式。 使用自定义检测，可以降低引入成本，获得无限的实时检测，并通过自动实体映射与Defender XDR数据、函数和修正操作的无缝集成受益。 有关详细信息，请阅读 此博客。

重要

导出和导入规则以 预览版提供。 请参阅Microsoft Azure预览版的补充使用条款，了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。

简介

现在可以将分析规则导出到Azure 资源管理器 (ARM) 模板文件，并从这些文件导入规则，作为以代码形式管理和控制Microsoft Sentinel部署的一部分。 导出操作将在浏览器的下载位置创建一个名为 Azure_Sentinel_analytic_rule.json) 的 JSON 文件 (，然后可以像处理任何其他文件一样对其进行重命名、移动和处理。

导出的 JSON 文件独立于工作区，因此可以导入到其他工作区，甚至其他租户。 作为代码，还可以在托管 CI/CD 框架中对其进行版本控制、更新和部署。

该文件包括分析规则中定义的所有参数，因此对于 计划 规则，它包括基础查询及其附带的计划设置、严重性、事件创建、事件和警报分组设置、分配的 MITRE ATT&CK 策略等。 任何类型的分析规则（而不仅仅是 计划） 都可以导出到 JSON 文件。

导出规则

1. 在Microsoft Sentinel导航菜单中，选择“分析”。

2. 选择要导出的规则，然后单击屏幕顶部栏中的“ 导出 ”。

   

   注意

   • 可以同时选择多个分析规则进行导出，方法是在规则旁边标记检查框，然后单击末尾的“导出”。

   • 可以在显示网格的单个页面上同时导出所有规则，方法是在“严重性) ”旁边的标题行 (标记检查框，然后单击“导出”。 但是，一次不能导出多个页面的规则。

   • 请注意，在此方案中，将创建名为 (Azure_Sentinel_analytic_rules 的 单个文件.json) ，其中包含所有导出规则的 JSON 代码。

导入规则

1. 准备好分析规则 ARM 模板 JSON 文件。

2. 在Microsoft Sentinel导航菜单中，选择“分析”。

3. 从屏幕顶部的栏中单击“ 导入 ”。 在生成的对话框中，导航到并选择表示要导入的规则的 JSON 文件，然后选择“ 打开”。

   

   注意

   最多可以从单个 ARM 模板文件导入 50 个分析规则。

后续步骤

本文档介绍了如何从 ARM 模板导出和导入分析规则。

• 详细了解 分析规则，包括 自定义计划规则。
• 详细了解 ARM 模板。