Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Administrer dine Microsoft Sentinel automatiseringsregler som kode! Du kan nu eksportere dine automatiseringsregler til Azure Resource Manager (ARM)-skabelonfiler og importere regler fra disse filer som en del af programmet for at administrere og styre dine Microsoft Sentinel udrulninger som kode. Eksporthandlingen opretter en JSON-fil på din browsers downloadsplacering, som du derefter kan omdøbe, flytte og på anden måde håndtere som enhver anden fil.
Den eksporterede JSON-fil er uafhængig af arbejdsområder, så den kan importeres til andre arbejdsområder og endda andre lejere. Som kode kan den også styres versionsstyring, opdateres og installeres i en administreret CI/CD-struktur.
Filen indeholder alle de parametre, der er defineret i automatiseringsreglen. Regler af enhver udløsertype kan eksporteres til en JSON-fil.
I denne artikel kan du se, hvordan du eksporterer og importerer automatiseringsregler.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Eksportér regler
Vælg Automation i navigationsmenuen Microsoft Sentinel.
Vælg den regel (eller de regler – se note), du vil eksportere, og vælg Eksportér på linjen øverst på skærmen.
Find den eksporterede fil i mappen Overførsler. Den har samme navn som automatiseringsreglen med en .json udvidelse.
Bemærk!
Du kan vælge flere automatiseringsregler på én gang til eksport ved at markere afkrydsningsfelterne ud for reglerne og vælge Eksportér til sidst.
Du kan eksportere alle reglerne på en enkelt side i visningsgitteret på én gang ved at markere afkrydsningsfeltet i overskriftsrækken, før du klikker på Eksportér. Du kan dog ikke eksportere mere end én sides regler ad gangen.
I dette scenarie oprettes en enkelt fil (med navnet Azure_Sentinel_automation_rules.json) og indeholder JSON-kode for alle de eksporterede regler.
Importér regler
Gør JSON-filen med en JSON-skabelon til en automatiseringsregel klar.
Vælg Automation i navigationsmenuen Microsoft Sentinel.
Vælg Importér på linjen øverst på skærmen. I den dialogboks, der åbnes, skal du navigere til og vælge den JSON-fil, der repræsenterer den regel, du vil importere, og vælge Åbn.
Bemærk!
Du kan importere op til 50 automatiseringsregler fra en enkelt ARM-skabelonfil.
Fejlfinding
Hvis du har problemer med at importere en eksporteret automatiseringsregel, skal du se følgende tabel.
| Funktionsmåde (med fejl) | Grund | Foreslået handling |
|---|---|---|
|
Den importerede automatiseringsregel er deaktiveret - Og- Betingelsen for reglens analyseregel viser "Ukendt regel" |
Reglen indeholder en betingelse, der refererer til en analyseregel, der ikke findes i destinationsarbejdsområdet. |
|
|
Den importerede automatiseringsregel er deaktiveret - Og- Reglens nøglebetingelse for brugerdefinerede detaljer viser "Ukendt nøgle til brugerdefinerede detaljer" |
Reglen indeholder en betingelse, der refererer til en brugerdefineret detaljenøgle , der ikke er defineret i nogen analyseregler i målarbejdsområdet. |
|
|
Installationen mislykkedes i destinationsarbejdsområdet med fejlmeddelelsen: "Automatiseringsregler kunne ikke installeres". Oplysninger om installation indeholder de årsager, der er angivet i den næste kolonne for fejl. |
Playbooken blev flyttet. - Eller- Playbooken blev slettet. - Eller- Målarbejdsområdet har ikke adgang til playbooken. |
Kontrollér, at playbooken findes, og at målarbejdsområdet har den rette adgang til den ressourcegruppe, der indeholder playbooken. |
|
Installationen mislykkedes i destinationsarbejdsområdet med fejlmeddelelsen: "Automatiseringsregler kunne ikke installeres". Installationsdetaljer indeholder de årsager, der er angivet i den næste kolonne for fejl . |
Automatiseringsreglen har overskredet den definerede udløbsdato, da du importerede den. |
Hvis reglen skal forblive udløbet i det oprindelige arbejdsområde:
|
|
Installationen mislykkedes i målarbejdsområdet med fejlmeddelelsen: "Den JSON-fil, du forsøgte at importere, har et ugyldigt format. Kontrollér filen, og prøv igen." |
Den importerede fil er ikke en gyldig JSON-fil. | Kontrollér, om der er problemer med filen, og prøv igen. Du opnår de bedste resultater ved at eksportere den oprindelige regel igen til en ny fil og derefter prøve at importere igen. |
|
Installationen mislykkedes i målarbejdsområdet med fejlmeddelelsen: "Der blev ikke fundet nogen ressourcer i filen. Kontrollér, at filen indeholder installationsressourcer, og prøv igen." |
Listen over ressourcer under nøglen "resources" i JSON-filen er tom. | Kontrollér, om der er problemer med filen, og prøv igen. Du opnår de bedste resultater ved at eksportere den oprindelige regel igen til en ny fil og derefter prøve at importere igen. |
Næste trin
I dette dokument har du lært, hvordan du eksporterer og importerer automatiseringsregler til og fra ARM-skabeloner.
- Få mere at vide om automatiseringsregler, og hvordan du opretter og arbejder med dem.
- Få mere at vide om ARM-skabeloner.