ARM şablonlarına ve arm şablonlarından analiz kurallarını dışarı ve içeri aktarma
Önemli
- Kuralları dışarı ve içeri aktarma ÖNIZLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Giriş
Artık analiz kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarabilir ve Microsoft Sentinel dağıtımlarınızı kod olarak yönetme ve denetlemenin bir parçası olarak bu dosyalardan kuralları içeri aktarabilirsiniz. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda başka bir dosya gibi yeniden adlandırabileceğiniz, taşıyabileceğiniz ve başka şekilde işleyebileceğiniz bir JSON dosyası (Azure_Sentinel_analytic_rule.json olarak adlandırılır) oluşturur.
Dışarı aktarılan JSON dosyası çalışma alanından bağımsızdır, bu nedenle diğer çalışma alanlarına ve hatta diğer kiracılara aktarılabilir. Kod olarak, yönetilen bir CI/CD çerçevesinde sürüm denetimi, güncelleştirme ve dağıtım da yapılabilir.
Dosya analiz kuralında tanımlanan tüm parametreleri içerir, dolayısıyla Zamanlanmış kurallar için temel sorguyu ve buna eşlik eden zamanlama ayarlarını, önem derecesi, olay oluşturma, olay ve uyarı gruplandırma ayarlarını, atanmış MITRE ATT&CK taktiklerini ve daha fazlasını içerir. Yalnızca Zamanlanmış değil, her tür analiz kuralı bir JSON dosyasına aktarılabilir.
Kuralları dışarı aktarma
Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Dışarı aktarmak istediğiniz kuralı seçin ve ekranın üst kısmındaki çubuktan Dışarı Aktar'a tıklayın.
Not
Dışarı aktarma için, kuralların yanındaki onay kutularını işaretleyip sonunda Dışarı Aktar'a tıklayarak aynı anda birden çok analiz kuralı seçebilirsiniz.
Dışarı Aktar'a tıklamadan önce üst bilgi satırındaki (ÖNEM Derecesi'nin yanındaki) onay kutusunu işaretleyerek tüm kuralları görüntüleme kılavuzunun tek bir sayfasındaki tek seferde dışarı aktarabilirsiniz. Ancak, aynı anda birden fazla sayfaya ait kuralları dışarı aktaramazsınız.
Bu senaryoda, tek bir dosyanın (Azure_Sentinel_analytic_rules.json adlı) oluşturulacağını ve dışarı aktarılan tüm kurallar için JSON kodu içereceğini unutmayın.
kuralları içeri aktarma
Analiz kuralı ARM şablonu JSON dosyasını hazır bulundurun.
Microsoft Sentinel gezinti menüsünden Analiz'i seçin.
Ekranın üst kısmındaki çubuktan İçeri Aktar'a tıklayın. Sonuçta elde edilen iletişim kutusunda, içeri aktarmak istediğiniz kuralı temsil eden JSON dosyasına gidip seçin ve Aç'ı seçin.
Not
Tek bir ARM şablon dosyasından en fazla 50 analiz kuralı içeri aktarabilirsiniz.
Sonraki adımlar
Bu belgede, ARM şablonlarına ve arm şablonlarından analiz kurallarını dışarı ve içeri aktarmayı öğrendiniz.
- Özel zamanlanmış kurallar da dahil olmak üzere analiz kuralları hakkında daha fazla bilgi edinin.
- ARM şablonları hakkında daha fazla bilgi edinin.