共用方式為


匯出和匯入 ARM 範本的分析規則

重要

簡介

您現在可以將分析規則導出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為管理和控制Microsoft Sentinel 部署程式代碼的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案(名為 Azure_Sentinel_analytic_rule.json),然後您可以重新命名、移動,以及其他任何檔案一樣處理。

匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。

檔案包含分析規則中定義的所有參數,因此對於 已排程 規則,它包含基礎查詢及其隨附的排程設定、嚴重性、事件建立、事件和警示群組設定、指派的 MITRE ATT&CK 策略等等。 任何類型的分析規則 -- 不只是 已排程 - 可以匯出至 JSON 檔案。

匯出規則

  1. 從 Microsoft Sentinel 導覽功能表,選取 [分析]

  2. 選取您想要導出的規則,然後按下畫面頂端列的 [ 匯出 ]。

    匯出分析規則

    注意

    • 您可以一次選取多個分析規則進行導出,方法是標記規則旁邊的複選框,然後按兩下 結尾的 [導出 ]。

    • 按兩下 [匯出] 之前,您可以一次在顯示方格的單一頁面上匯出所有規則,方法是在標頭數據列 (SEVERITY) 標記複選框。 不過,您無法一次匯出一整頁以上的規則。

    • 請注意,在此案例中,將會建立單一檔案(名為 Azure_Sentinel_analytic_rules.json),並包含所有導出規則的 JSON 程式代碼。

匯入規則

  1. 準備好分析規則 ARM 範本 JSON 檔案。

  2. 從 Microsoft Sentinel 導覽功能表,選取 [分析]

  3. 從畫面頂端的列按兩下 [ 入]。 在產生的對話方塊中,瀏覽至並選取代表您要匯入的規則的 JSON 檔案,然後選取 [開啟]

    匯入分析規則

    注意

    您可以從單一 ARM 樣本檔案匯入 最多 50 個分析規則。

下一步

在本檔中,您已瞭解如何從 ARM 範本匯出和匯入分析規則。