分享方式:

從 ARM 範本匯出和匯入分析規則

  • 文章

重要

簡介

您現在可以將分析規則導出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為管理和控制 Microsoft Sentinel 部署程式代碼的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案(名為 Azure_Sentinel_analytic_rule.json),然後您可以重新命名、移動,以及處理任何其他檔案一樣。

導出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租使用者。 程序代碼也可以以版本控制、更新及部署在受控 CI/CD 架構中。

檔案包含分析規則中定義的所有參數,因此對於 已排程 規則,它包含基礎查詢及其隨附的排程設定、嚴重性、事件建立、事件和警示群組設定、指派的 MITRE ATT&CK 策略等等。 任何類型的分析規則 -- 不只是 已排程 - 可以匯出至 JSON 檔案。

匯出規則

  1. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 分析]。

  2. 選取您想要導出的規則,然後按下畫面頂端列的 [ 匯出 ]。

    Export analytics rule

    注意

    • 您可以一次選取多個分析規則進行導出,方法是標記規則旁邊的複選框,然後按兩下 結尾的 [導出 ]。

    • 按兩下 [匯出] 之前,您可以一次在顯示方格的單一頁面上匯出所有規則,方法是在標頭數據列 (SEVERITY) 標記複選框。 不過,您一次無法匯出一個以上的頁面規則。

    • 請注意,在此案例中,將會建立單一檔案(名為 Azure_Sentinel_analytic_rules.json),並包含所有導出規則的 JSON 程式代碼。

匯入規則

  1. 準備好分析規則 ARM 範本 JSON 檔案。

  2. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 分析]。

  3. 從畫面頂端的列按兩下 [ 入]。 在產生的對話框中,流覽至並選取代表您要匯入之規則的 JSON 檔案,然後選取 [ 開啟]。

    Import analytics rule

    注意

    您可以從單一 ARM 樣本檔案匯入 最多 50 個分析規則。

下一步

在本檔中,您已瞭解如何從 ARM 範本匯出和匯入分析規則。