重要事項
自訂偵測現在是跨 Microsoft Sentinel、SIEM 和 Microsoft Defender 全面偵測回應新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、獲得無限即時偵測,並能無縫整合 Defender 全面偵測回應資料、功能及修復行動,並透過自動實體映射實現。 欲了解更多資訊,請閱讀 此部落格。
重要事項
匯出和匯入規則在 預覽中。 請參閱 Microsoft Azure 預覽版補充使用條款,以了解適用於 beta、預覽或尚未正式釋出的 Azure 功能的其他法律條款。
簡介
你現在可以將分析規則匯出到Azure Resource Manager (ARM) 範本檔,並從這些檔案匯入規則,作為管理與控制Microsoft Sentinel部署程式碼的一部分。 匯出操作會在瀏覽器的下載位置建立一個名為 Azure_Sentinel_analytic_rule.json) (的 JSON 檔案,你可以像其他檔案一樣重新命名、移動或處理。
匯出的 JSON 檔案是獨立於工作區的,因此可以匯入到其他工作區甚至其他租戶。 作為程式碼,它也可以進行版本控制、更新,並部署於受管理的 CI/CD 框架中。
檔案包含分析規則中定義的所有參數,因此 排程 規則包含底層查詢及其排程設定、嚴重性、事件建立、事件與警示分組設定、分配的 MITRE ATT&CK 策略等。 任何類型的分析規則——不僅限於 排程 規則——都可以匯出成 JSON 檔案。
出口規則
從 Microsoft Sentinel 導覽選單中,選擇「分析」。
選擇你想匯出的規則,然後從螢幕頂端的欄點選 「匯出 」。
注意事項
你可以一次選擇多個分析規則來匯出,方法是勾選規則旁的勾選框,然後在最後點選 匯出 。
你可以一次匯出所有規則,集中在顯示格子的單一頁面,方法是先在 SEVERITY) 旁邊的頁頭 (列勾選勾選方塊,然後再點擊 匯出。 不過你一次不能匯出超過一頁的規則。
請注意,在此情況下,會建立一個名為 Azure_Sentinel_analytic_rules.json () 的檔案,並包含所有匯出規則的 JSON 程式碼。
進口規則
準備好分析規則 ARM 範本 JSON 檔案。
從 Microsoft Sentinel 導覽選單中,選擇「分析」。
從螢幕頂端的輸入欄點選匯 入 。 在結果對話框中,導向並選取代表你想匯入規則的 JSON 檔案,然後選擇 「開啟」。
注意事項
你可以從單一 ARM 範本檔案匯入 最多 50 條分析規則。
後續步驟
在這份文件中,你學會了如何將分析規則匯出與匯入 ARM 範本。