Elemzési szabályok exportálása és importálása ARM-sablonokba és -sablonokból
Fontos
- A szabályok exportálása és importálása előzetes verzióban történik. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Bevezetés
Mostantól exportálhatja az elemzési szabályokat az Azure Resource Manager-sablonfájlokba, és importálhat szabályokat ezekből a fájlokból a Microsoft Sentinel-környezetek kódként való kezelésének és szabályozásának részeként. Az exportálási művelet létrehoz egy JSON-fájlt (Azure_Sentinel_analytic_rule.json néven) a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.
Az exportált JSON-fájl munkaterületfüggetlen, így importálható más munkaterületekre és akár más bérlőkre is. Kódként verzióvezérelt, frissíthető és üzembe helyezhető felügyelt CI/CD-keretrendszerben is.
A fájl tartalmazza az elemzési szabályban definiált összes paramétert, így az ütemezett szabályok esetében tartalmazza az alapul szolgáló lekérdezést és a hozzá tartozó ütemezési beállításokat, a súlyosságot, az incidensek létrehozását, az esemény- és riasztáscsoportozási beállításokat, a hozzárendelt MITRE ATT&CK taktikákat és egyebeket. Bármilyen típusú elemzési szabály – nem csak ütemezett – exportálható egy JSON-fájlba.
Szabályok exportálása
A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.
Jelölje ki az exportálni kívánt szabályt, és kattintson az Exportálás gombra a képernyő tetején lévő sávon.
Feljegyzés
Egyszerre több elemzési szabályt is kijelölhet az exportáláshoz, ha bejelöli a szabályok melletti jelölőnégyzeteket, és a végén az Exportálás gombra kattint.
A megjelenítési rács egy oldalán lévő összes szabályt egyszerre exportálhatja úgy, hogy bejelöli a fejlécsorban (a SÚLYOSSÁG mellett) lévő jelölőnégyzetet, mielőtt az Exportálás gombra kattint. Nem exportálhat egyszerre több oldalnyi szabályt.
Vegye figyelembe, hogy ebben a forgatókönyvben egyetlen fájl (Azure_Sentinel_analytic_rules.json) jön létre, és az összes exportált szabály JSON-kódját tartalmazza.
Szabályok importálása
Készítse fel az elemzési szabály ARM-sablonjához készült JSON-fájlt.
A Microsoft Sentinel navigációs menüjében válassza az Elemzés lehetőséget.
Kattintson az Importálás gombra a képernyő tetején lévő sávról. Az eredményként kapott párbeszédpanelen lépjen az importálni kívánt szabályt képviselő JSON-fájlra, és válassza a Megnyitás lehetőséget.
Feljegyzés
Egyetlen ARM-sablonfájlból legfeljebb 50 elemzési szabályt importálhat.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan exportálhat és importálhat elemzési szabályokat ARM-sablonokba és -sablonokból.
- További információ az elemzési szabályokról, beleértve az egyéni ütemezett szabályokat is.
- További információ az ARM-sablonokról.