Mengekspor dan mengimpor aturan analitik ke dan dari templat ARM

Penting

• Mengekspor dan mengimpor aturan di PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pendahuluan

Anda sekarang dapat mengekspor aturan analitik Anda ke file templat Azure Resource Manager (ARM), dan mengimpor aturan dari file-file ini, sebagai bagian dari mengelola dan mengendalikan penyebaran Microsoft Azure Sentinel Anda sebagai kode. Tindakan ekspor akan membuat file JSON (bernama Azure_Sentinel_analytic_rule.json) di lokasi unduhan browser Anda, yang kemudian dapat Anda ganti nama, pindahkan, dan ditangani seperti file lainnya.

File JSON yang diekspor bersifat independen dari ruang kerja, sehingga dapat diimpor ke ruang kerja lain dan bahkan penyewa lainnya. Sebagai kode, versi file tersebut juga dapat dikontrol, diperbarui, dan disebarkan dalam kerangka kerja CI/CD terkelola.

File ini mencakup semua parameter yang didefinisikan dalam aturan analitik, jadi untuk aturan Terjadwal, file ini mencakup kueri yang mendasarinya dan pengaturan penjadwalan yang menyertainya, tingkat keparahan, pembuatan insiden, pengaturan pengelompokan kejadian dan pemberitahuan, taktik MITRE ATT&CK yang ditetapkan, dan sebagainya. Setiap jenis aturan analitik - tidak hanya Terjadwal - dapat diekspor ke file JSON.

Mengekspor aturan

1. Dari menu navigasi Microsoft Azure Sentinel, pilih Analitik.

2. Pilih aturan yang ingin Anda ekspor dan klik Ekspor dari bar di bagian atas layar.

   

   Catatan

   • Anda dapat memilih beberapa aturan analitik sekaligus untuk diekspor dengan menandai kotak centang di samping aturan dan mengklik Ekspor di akhir.

   • Anda dapat mengekspor semua aturan pada satu halaman kisi tampilan sekaligus, dengan menandai kotak centang di baris header (di samping KEPARAHAN) sebelum menekan Ekspor. Namun, Anda tidak dapat mengekspor aturan senilai lebih dari satu halaman pada satu waktu.

   • Perhatikan bahwa pada skenario ini, satu file (bernama Azure_Sentinel_analytic_rules.json) akan dibuat, dan akan berisi kode JSON untuk semua aturan yang diekspor.

Mengimpor aturan

1. Siapkan file JSON templat ARM aturan analitik.

2. Dari menu navigasi Microsoft Azure Sentinel, pilih Analitik.

3. Klik Import dari bar di bagian atas layar. Dalam kotak dialog yang dihasilkan, arahkan ke dan pilih file JSON yang mewakili aturan yang ingin Anda impor, dan pilih Buka.

   

   Catatan

   Anda dapat mengimpor hingga 50 aturan analitik dari satu file templat ARM.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara mengekspor dan mengimpor aturan analitik ke dan dari templat ARM.

• Pelajari selengkapnya aturan analitik, termasuk aturan terjadwal kustom.
• Pelajari selengkapnya templat ARM.