Automatizálási szabályok exportálása és importálása ARM sablonokba és sablonokból
A Microsoft Sentinel automatizálási szabályainak kezelése kódként! Mostantól exportálhatja az automatizálási szabályokat az Azure Resource Manager-sablonfájlokba, és a program részeként importálhat szabályokat ezekből a fájlokból a Microsoft Sentinel-környezetek kódként való kezeléséhez és szabályozásához. Az exportálási művelet létrehoz egy JSON-fájlt a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.
Az exportált JSON-fájl munkaterületfüggetlen, így importálható más munkaterületekre és akár más bérlőkre is. Kódként verzióvezérelt, frissíthető és üzembe helyezhető felügyelt CI/CD-keretrendszerben is.
A fájl tartalmazza az automatizálási szabályban definiált összes paramétert. Bármely eseményindító-típus szabályai exportálhatók JSON-fájlba.
Ez a cikk bemutatja, hogyan exportálhat és importálhat automatizálási szabályokat.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Szabályok exportálása
A Microsoft Sentinel navigációs menüjében válassza az Automation lehetőséget.
Jelölje ki az exportálni kívánt szabályt (vagy szabályokat – lásd a megjegyzést), majd válassza az Exportálás lehetőséget a képernyő tetején lévő sávon.
Keresse meg az exportált fájlt a Letöltések mappában. Ugyanaz a neve, mint az automatizálási szabálynak, .json kiterjesztéssel.
Feljegyzés
Egyszerre több automatizálási szabályt is kijelölhet az exportáláshoz, ha bejelöli a szabályok melletti jelölőnégyzeteket, és a végén az Exportálás lehetőséget választja.
A megjelenítési rács egyetlen oldalán egyszerre exportálhatja az összes szabályt úgy, hogy bejelöli a fejlécsorban lévő jelölőnégyzetet, mielőtt az Exportálás gombra kattint. Nem exportálhat egyszerre több oldalnyi szabályt.
Ebben a forgatókönyvben egyetlen fájl jön létre (Azure_Sentinel_automation_rules.json néven), és az összes exportált szabály JSON-kódját tartalmazza.
Szabályok importálása
Készítse fel az automation rule ARM-sablon JSON-fájlját.
A Microsoft Sentinel navigációs menüjében válassza az Automation lehetőséget.
Válassza az Importálás lehetőséget a képernyő tetején lévő sávról. Az eredményként kapott párbeszédpanelen lépjen az importálni kívánt szabályt képviselő JSON-fájlra, és válassza a Megnyitás lehetőséget.
Feljegyzés
Egyetlen ARM-sablonfájlból legfeljebb 50 automatizálási szabályt importálhat.
Hibaelhárítás
Ha problémát tapasztal egy exportált automatizálási szabály importálásával kapcsolatban, tekintse meg az alábbi táblázatot.
| Viselkedés (hiba esetén) | Ok | Javasolt művelet |
|---|---|---|
| Az importált automatizálási szabály le van tiltva -és- A szabály elemzési szabályfeltétele az "Ismeretlen szabály" értéket jeleníti meg |
A szabály olyan feltételt tartalmaz, amely olyan elemzési szabályra hivatkozik, amely nem létezik a cél-munkaterületen. |
|
| Az importált automatizálási szabály le van tiltva -és- A szabály egyéni részletek kulcsfeltétele az "Ismeretlen egyéni adatkulcs" értéket jeleníti meg |
A szabály olyan feltételt tartalmaz, amely egy olyan egyéni adatkulcsra hivatkozik, amely nincs definiálva a cél-munkaterület egyik elemzési szabályában sem. |
|
| Az üzembe helyezés a cél-munkaterületen meghiúsult, és a következő hibaüzenet jelenik meg: "Az automatizálási szabályok üzembe helyezése nem sikerült." Az üzembe helyezés részletei a következő oszlopban felsorolt hibákat tartalmazzák. |
A forgatókönyvet áthelyezték. -vagy- A forgatókönyvet törölték. -vagy- A cél-munkaterület nem rendelkezik hozzáféréssel a forgatókönyvhöz. |
Győződjön meg arról, hogy a forgatókönyv létezik, és hogy a cél-munkaterület megfelelő hozzáféréssel rendelkezik a forgatókönyvet tartalmazó erőforráscsoporthoz. |
| Az üzembe helyezés a cél-munkaterületen meghiúsult, és a következő hibaüzenet jelenik meg: "Az automatizálási szabályok üzembe helyezése nem sikerült." Az üzembe helyezés részletei a következő oszlopban felsorolt hibák okait tartalmazzák. |
Az automatizálási szabály az importáláskor túllépte a megadott lejárati dátumot. | Ha azt szeretné, hogy a szabály az eredeti munkaterületén is lejárt maradjon:
|
| Az üzembe helyezés nem sikerült a cél-munkaterületen, hibaüzenettel: "Az importálni próbált JSON-fájl formátuma érvénytelen. Ellenőrizze a fájlt, és próbálkozzon újra." |
Az importált fájl nem érvényes JSON-fájl. | Ellenőrizze a fájlt, és próbálkozzon újra. A legjobb eredmény érdekében exportálja újra az eredeti szabályt egy új fájlba, majd próbálkozzon újra az importálással. |
| Az üzembe helyezés nem sikerült a cél-munkaterületen, hibaüzenettel: "Nem található erőforrás a fájlban. Győződjön meg arról, hogy a fájl üzembehelyezési erőforrásokat tartalmaz, és próbálkozzon újra." |
A JSON-fájlban az "erőforrások" kulcs alatti erőforrások listája üres. | Ellenőrizze a fájlt, és próbálkozzon újra. A legjobb eredmény érdekében exportálja újra az eredeti szabályt egy új fájlba, majd próbálkozzon újra az importálással. |
Következő lépések
Ebben a dokumentumban megtanulta, hogyan exportálhat és importálhat automatizálási szabályokat ARM-sablonokba és -sablonokból.
- További információ az automatizálási szabályokról, valamint azok létrehozásáról és használatáról.
- További információ az ARM-sablonokról.