مشاركة عبر

تصدير قواعد التشغيل التلقائي واستيرادها من قوالب ARM وإرادتها

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

إدارة قواعد أتمتة Microsoft Sentinel كتعليل برمجي! يمكنك الآن تصدير قواعد التشغيل التلقائي إلى ملفات قالب Azure Resource Manager (ARM)، واستيراد القواعد من هذه الملفات، كجزء من برنامجك لإدارة عمليات نشر Microsoft Sentinel والتحكم فيها كتعلم برمجي. ينشئ إجراء التصدير ملف JSON في موقع تنزيلات المستعرض، يمكنك بعد ذلك إعادة تسميته ونقله والتعامل معه مثل أي ملف آخر.

ملف JSON الذي تم تصديره مستقل عن مساحة العمل، لذلك يمكن استيراده إلى مساحات العمل الأخرى وحتى المستأجرين الآخرين. كتعليمة برمجية، يمكن أيضًا التحكم في الإصدار وتحديثه ونشره في إطار CI/CD مُدار.

يتضمن الملف جميع المعلمات المحددة في قاعدة التنفيذ التلقائي. يمكن تصدير القواعد من أي نوع مشغل إلى ملف JSON.

توضح هذه المقالة كيفية تصدير قواعد التنفيذ التلقائي واستيرادها.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

قواعد التصدير

  1. من قائمة التنقل في Microsoft Sentinel، حدد Automation.

  2. حدد القاعدة (أو القواعد — راجع الملاحظة) التي تريد تصديرها، وحدد تصدير من الشريط في أعلى الشاشة.

    لقطة شاشة توضح كيفية تصدير قاعدة التنفيذ التلقائي.

    ابحث عن الملف الذي تم تصديره في مجلد التنزيلات. له نفس اسم قاعدة التشغيل التلقائي، مع ملحق .json.

    إشعار

    • يمكنك تحديد قواعد أتمتة متعددة في وقت واحد للتصدير عن طريق وضع علامة على خانات الاختيار بجوار القواعد وتحديد تصدير في النهاية.

    • يمكنك تصدير جميع القواعد على صفحة واحدة من شبكة العرض في وقت واحد، عن طريق وضع علامة على خانة الاختيار في صف الرأس قبل النقر فوق تصدير. ومع ذلك، لا يمكنك تصدير أكثر من قواعد بقيمة صفحة واحدة في كل مرة.

    • في هذا السيناريو، يتم إنشاء ملف واحد (يسمى Azure_Sentinel_automation_rules.json)، ويحتوي على تعليمة JSON البرمجية لكافة القواعد المصدرة.

قواعد الاستيراد

  1. يكون ملف JSON لقالب ARM لقاعدة التنفيذ التلقائي جاهزا.

  2. من قائمة التنقل في Microsoft Sentinel، حدد Automation.

  3. حدد استيراد من الشريط في أعلى الشاشة. في مربع الحوار الناتج، انتقل إلى وحدد ملف JSON الذي يمثل القاعدة التي تريد استيرادها، وحدد فتح.

    لقطة شاشة توضح كيفية استيراد قاعدة أتمتة.

    إشعار

    يمكنك استيراد ما يصل إلى 50 قاعدة أتمتة من ملف قالب ARM واحد.

استكشاف الأخطاء وإصلاحها

إذا كانت لديك أي مشكلات في استيراد قاعدة أتمتة تم تصديرها، فراجع الجدول التالي.

السلوك (مع الخطأ) السبب الإجراء المقترح
تم تعطيل قاعدة الأتمتة المستوردة
-و-
يعرض شرط قاعدة تحليلات القاعدة "قاعدة غير معروفة"		 تحتوي القاعدة على شرط يشير إلى قاعدة تحليلات غير موجودة في مساحة العمل الهدف.
  1. تصدير قاعدة التحليلات المشار إليها من مساحة العمل الأصلية واستيرادها إلى الهدف.
  2. قم بتحرير قاعدة التنفيذ التلقائي في مساحة العمل الهدف، واختيار قاعدة التحليلات الحالية الآن من القائمة المنسدلة.
  3. تمكين قاعدة التشغيل التلقائي.
تم تعطيل قاعدة الأتمتة المستوردة
-و-
يعرض شرط مفتاح التفاصيل المخصصة للقاعدة "مفتاح تفاصيل مخصص غير معروف"		 تحتوي القاعدة على شرط يشير إلى مفتاح تفاصيل مخصص لم يتم تعريفه في أي قواعد تحليلات في مساحة العمل الهدف.
  1. تصدير قاعدة التحليلات المشار إليها من مساحة العمل الأصلية واستيرادها إلى الهدف.
  2. قم بتحرير قاعدة التنفيذ التلقائي في مساحة العمل الهدف، واختيار قاعدة التحليلات الحالية الآن من القائمة المنسدلة.
  3. تمكين قاعدة التشغيل التلقائي.
فشل النشر في مساحة العمل الهدف، مع ظهور رسالة خطأ: "فشل نشر قواعد التنفيذ التلقائي. "
تحتوي تفاصيل التوزيع على الأسباب المدرجة في العمود التالي للفشل.		 تم نقل دليل المبادئ.
-أو-
تم حذف دليل المبادئ.
-أو-
لا تتمتع مساحة العمل الهدف بإمكانية الوصول إلى دليل المبادئ.		 تأكد من وجود دليل المبادئ، وأن مساحة العمل الهدف لديها حق الوصول الصحيح إلى مجموعة الموارد التي تحتوي على دليل المبادئ.
فشل النشر في مساحة العمل الهدف، مع ظهور رسالة خطأ: "فشل نشر قواعد التنفيذ التلقائي. "
تحتوي تفاصيل التوزيع على الأسباب المدرجة في العمود التالي للفشل .		 تجاوزت قاعدة التنفيذ التلقائي تاريخ انتهاء الصلاحية المحدد عند استيرادها. إذا كنت تريد أن تظل القاعدة منتهية الصلاحية في مساحة العمل الأصلية الخاصة بها:
  1. تحرير ملف JSON الذي يمثل قاعدة التنفيذ التلقائي المصدرة.
  2. ابحث عن تاريخ انتهاء الصلاحية (الذي يظهر مباشرة بعد السلسلة "expirationTimeUtc":) واستبدله بتاريخ انتهاء صلاحية جديد (في المستقبل).
  3. احفظ الملف وأعد استيراده إلى مساحة العمل الهدف.
إذا كنت تريد أن تعود القاعدة إلى الحالة النشطة في مساحة العمل الأصلية الخاصة بها:
  1. تحرير قاعدة التنفيذ التلقائي في مساحة العمل الأصلية وتغيير تاريخ انتهاء صلاحيتها إلى تاريخ في المستقبل.
  2. تصدير القاعدة مرة أخرى من مساحة العمل الأصلية.
  3. استيراد الإصدار الذي تم تصديره حديثا إلى مساحة العمل الهدف.
فشل النشر في مساحة العمل الهدف، مع ظهور رسالة خطأ:
"ملف JSON الذي حاولت استيراده بتنسيق غير صحيح. يرجى التحقق من الملف والمحاولة مرة أخرى."		 الملف المستورد ليس ملف JSON صالحا. تحقق من وجود مشاكل في الملف وحاول مرة أخرى. للحصول على أفضل النتائج، قم بتصدير القاعدة الأصلية مرة أخرى إلى ملف جديد، ثم حاول الاستيراد مرة أخرى.
فشل النشر في مساحة العمل الهدف، مع ظهور رسالة خطأ:
"لم يتم العثور على موارد في الملف. الرجاء التأكد من أن الملف يحتوي على موارد النشر وحاول مرة أخرى."		 قائمة الموارد ضمن مفتاح "الموارد" في ملف JSON فارغة. تحقق من وجود مشاكل في الملف وحاول مرة أخرى. للحصول على أفضل النتائج، قم بتصدير القاعدة الأصلية مرة أخرى إلى ملف جديد، ثم حاول الاستيراد مرة أخرى.

الخطوات التالية

في هذا المستند، تعلمت كيفية تصدير قواعد التنفيذ التلقائي واستيرادها من قوالب ARM وإرادتها.