從 ARM 範本匯出和匯入分析規則
重要
- 匯出和匯入規則處於預覽狀態。 如需適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版補充使用條款。
簡介
您現在可以將分析規則導出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為管理和控制 Microsoft Sentinel 部署程式代碼的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案(名為 Azure_Sentinel_analytic_rule.json),然後您可以重新命名、移動,以及處理任何其他檔案一樣。
導出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租使用者。 程序代碼也可以以版本控制、更新及部署在受控 CI/CD 架構中。
檔案包含分析規則中定義的所有參數,因此對於 已排程 規則,它包含基礎查詢及其隨附的排程設定、嚴重性、事件建立、事件和警示群組設定、指派的 MITRE ATT&CK 策略等等。 任何類型的分析規則 -- 不只是 已排程 - 可以匯出至 JSON 檔案。
匯出規則
從 [Microsoft Sentinel] 導覽功能表中,選取 [ 分析]。
選取您想要導出的規則,然後按下畫面頂端列的 [ 匯出 ]。
注意
您可以一次選取多個分析規則進行導出,方法是標記規則旁邊的複選框,然後按兩下 結尾的 [導出 ]。
按兩下 [匯出] 之前,您可以一次在顯示方格的單一頁面上匯出所有規則,方法是在標頭數據列 (SEVERITY 旁) 標記複選框。 不過,您一次無法匯出一個以上的頁面規則。
請注意,在此案例中,將會建立單一檔案(名為 Azure_Sentinel_analytic_rules.json),並包含所有導出規則的 JSON 程式代碼。
匯入規則
準備好分析規則 ARM 範本 JSON 檔案。
從 [Microsoft Sentinel] 導覽功能表中,選取 [ 分析]。
從畫面頂端的列按兩下 [ 匯 入]。 在產生的對話框中,流覽至並選取代表您要匯入之規則的 JSON 檔案,然後選取 [ 開啟]。
注意
您可以從單一 ARM 樣本檔案匯入 最多 50 個分析規則。
下一步
在本檔中,您已瞭解如何從 ARM 範本匯出和匯入分析規則。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: