Экспорт и импорт правил аналитики в шаблоны ARM и из них

Важно!

• Функция экспорта и импорта правил находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Введение

Теперь можно экспортировать правила аналитики в файлы шаблонов Azure Resource Manager (ARM) и импортировать правила из этих файлов в рамках управления развертываниями Microsoft Sentinel и их контроля в виде кода. Действие экспорта создаст файл JSON (с именем Azure_Sentinel_analytic_rule.json) в папке загрузок браузера, который можно переименовать, переместить (и совершать другие действия, как с любым другим файлом).

Экспортированный JSON-файл не зависит от рабочей области, поэтому его можно импортировать в другие рабочие области и даже другие клиенты. Как код, он также может управляться версиями, обновляться и развертываться в управляемой инфраструктуре CI/CD.

Этот файл содержит все параметры, определенные в правиле аналитики, поэтому для запланированных правил оно включает базовый запрос и сопутствующие параметры планирования, уровня серьезности, создания инцидента, группировки событий и оповещений, а также назначенные тактики MITRE ATT&CK и многое другое. В JSON-файл можно экспортировать правило аналитики любого типа (не только запланированное).

Экспорт правил

1. В меню навигации Microsoft Sentinel выберите Аналитика.

2. Выберите правило, которое необходимо экспортировать, и нажмите кнопку Экспорт на панели в верхней части экрана.

   

   Примечание.

   • Для экспорта можно одновременно выбрать несколько правил аналитики, установив флажки рядом с правилами и в завершение нажав кнопку Экспорт.

   • Можно одновременно экспортировать все правила на одной странице сетки экрана, установив флажок в строке заголовка (рядом с заголовком УРОВЕНЬ СЕРЬЕЗНОСТИ) и нажав кнопку Экспорт. Но за один раз нельзя экспортировать более одной страницы.

   • Имейте в виду, что в этом сценарии будет создан один файл с именем Azure_Sentinel_analytic_rules.json, который будет содержать код JSON для всех экспортированных правил.

Импорт правил

1. Подготовьте файл JSON шаблона ARM для правила аналитики.

2. В меню навигации Microsoft Sentinel выберите Аналитика.

3. Щелкните кнопку Импорт на панели в верхней части экрана. В открывшемся диалоговом окне перейдите к расположению файла JSON, представляющего правило, которое необходимо импортировать, выберите его и нажмите кнопку Открыть.

   

   Примечание.

   Можно импортировать до 50 правил аналитики из одного файла шаблона ARM.

Следующие шаги

Из этого документа вы узнали, как экспортировать и импортировать правила аналитики в шаблоны ARM и из них.

• Дополнительные сведения о правилах аналитики, включая пользовательские запланированные правила.
• Дополнительные сведения о шаблонах ARM.