Exportieren und Importieren von Automatisierungsregeln in und aus ARM-Vorlagen

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Verwalten Sie Ihre Microsoft Sentinel Automatisierungsregeln als Code! Sie können Jetzt Ihre Automatisierungsregeln in arm-Vorlagendateien (Azure Resource Manager) exportieren und Regeln aus diesen Dateien als Teil Ihres Programms importieren, um Ihre Microsoft Sentinel Bereitstellungen als Code zu verwalten und zu steuern. Die Exportaktion erstellt eine JSON-Datei am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und andernfalls wie jede andere Datei verarbeiten können.

Die exportierte JSON-Datei ist arbeitsbereichsunabhängig, sodass sie in andere Arbeitsbereiche und sogar in andere Mandanten importiert werden kann. Als Code kann er auch versionsgesteuert, aktualisiert und in einem verwalteten CI/CD-Framework bereitgestellt werden.

Die Datei enthält alle parameter, die in der Automatisierungsregel definiert sind. Regeln eines beliebigen Triggertyps können in eine JSON-Datei exportiert werden.

In diesem Artikel erfahren Sie, wie Sie Automatisierungsregeln exportieren und importieren.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Exportregeln

  1. Wählen Sie im Microsoft Sentinel Navigationsmenü die Option Automatisierung aus.

  2. Wählen Sie die Regel (oder regeln – siehe Hinweis) aus, die Sie exportieren möchten, und wählen Sie in der Leiste oben auf dem Bildschirm Exportieren aus.

    Screenshot: Exportieren einer Automatisierungsregel

    Suchen Sie die exportierte Datei im Ordner Downloads. Sie hat den gleichen Namen wie die Automatisierungsregel, mit einer .json Erweiterung.

    Hinweis

    • Sie können mehrere Automatisierungsregeln gleichzeitig für den Export auswählen, indem Sie die Kontrollkästchen neben den Regeln markieren und am Ende Exportieren auswählen.

    • Sie können alle Regeln auf einer einzelnen Seite des Anzeigerasters gleichzeitig exportieren, indem Sie das Kontrollkästchen in der Kopfzeile aktivieren, bevor Sie auf Exportieren klicken. Sie können jedoch nicht mehrere Regeln auf einer Seite gleichzeitig exportieren.

    • In diesem Szenario wird eine einzelne Datei ( mit dem Namen Azure_Sentinel_automation_rules.json) erstellt, die JSON-Code für alle exportierten Regeln enthält.

Importregeln

  1. Eine JSON-Datei mit ARM-Vorlage für die Automatisierungsregel bereit.

  2. Wählen Sie im Microsoft Sentinel Navigationsmenü die Option Automatisierung aus.

  3. Wählen Sie in der Leiste oben auf dem Bildschirm importieren aus. Navigieren Sie im daraufhin angezeigten Dialogfeld zu der JSON-Datei, die die zu importierende Regel darstellt, und wählen Sie Dann Öffnen aus.

    Screenshot: Importieren einer Automatisierungsregel

    Hinweis

    Sie können bis zu 50 Automatisierungsregeln aus einer einzelnen ARM-Vorlagendatei importieren.

Problembehandlung

Wenn Beim Importieren einer exportierten Automatisierungsregel Probleme auftreten, lesen Sie die folgende Tabelle.

Verhalten (mit Fehler) Grund Vorgeschlagene Aktion
Importierte Automatisierungsregel ist deaktiviert
- Und-
Die Analyseregelbedingung der Regel zeigt "Unbekannte Regel" an.		 Die Regel enthält eine Bedingung, die sich auf eine Analyseregel bezieht, die im Zielarbeitsbereich nicht vorhanden ist.
  1. Exportieren Sie die Analyseregel, auf die verwiesen wird, aus dem ursprünglichen Arbeitsbereich, und importieren Sie sie in den Zielarbeitsbereich.
  2. Bearbeiten Sie die Automatisierungsregel im Zielarbeitsbereich, und wählen Sie in der Dropdownliste die jetzt vorhandene Analyseregel aus.
  3. Aktivieren Sie die Automatisierungsregel.
Importierte Automatisierungsregel ist deaktiviert
- Und-
Die benutzerdefinierte Detailschlüsselbedingung der Regel zeigt "Unbekannter benutzerdefinierter Detailschlüssel" an.		 Die Regel enthält eine Bedingung, die sich auf einen benutzerdefinierten Detailschlüssel bezieht, der nicht in Analyseregeln im Zielarbeitsbereich definiert ist.
  1. Exportieren Sie die Analyseregel, auf die verwiesen wird, aus dem ursprünglichen Arbeitsbereich, und importieren Sie sie in den Zielarbeitsbereich.
  2. Bearbeiten Sie die Automatisierungsregel im Zielarbeitsbereich, und wählen Sie in der Dropdownliste die jetzt vorhandene Analyseregel aus.
  3. Aktivieren Sie die Automatisierungsregel.
Fehler bei der Bereitstellung im Zielarbeitsbereich mit der folgenden Fehlermeldung: "Automatisierungsregeln konnten nicht bereitgestellt werden."
Die Bereitstellungsdetails enthalten die In der nächsten Spalte aufgeführten Gründe für fehler.		 Das Playbook wurde verschoben.
- Oder-
Das Playbook wurde gelöscht.
- Oder-
Der Zielarbeitsbereich hat keinen Zugriff auf das Playbook.		 Stellen Sie sicher, dass das Playbook vorhanden ist und dass der Zielarbeitsbereich über den richtigen Zugriff auf die Ressourcengruppe verfügt, die das Playbook enthält.
Fehler bei der Bereitstellung im Zielarbeitsbereich mit der folgenden Fehlermeldung: "Automatisierungsregeln konnten nicht bereitgestellt werden."
Die Bereitstellungsdetails enthalten die Gründe, die in der nächsten Spalte für den Fehler aufgeführt sind.		 Die Automatisierungsregel war nach dem definierten Ablaufdatum abgelaufen, als Sie sie importiert haben. Wenn die Regel im ursprünglichen Arbeitsbereich abgelaufen bleiben soll:
  1. Bearbeiten Sie die JSON-Datei, die die exportierte Automatisierungsregel darstellt.
  2. Suchen Sie das Ablaufdatum (das unmittelbar nach der Zeichenfolge "expirationTimeUtc":angezeigt wird), und ersetzen Sie es durch ein neues Ablaufdatum (in der Zukunft).
  3. Speichern Sie die Datei, und importieren Sie sie erneut in den Zielarbeitsbereich.
Wenn die Regel im ursprünglichen Arbeitsbereich zum aktiven status zurückkehren soll:
  1. Bearbeiten Sie die Automatisierungsregel im ursprünglichen Arbeitsbereich, und ändern Sie das Ablaufdatum in ein Datum in der Zukunft.
  2. Exportieren Sie die Regel erneut aus dem ursprünglichen Arbeitsbereich.
  3. Importieren Sie die neu exportierte Version in den Zielarbeitsbereich.
Fehler bei der Bereitstellung im Zielarbeitsbereich mit Fehlermeldung:
"Die JSON-Datei, die Sie importieren möchten, hat ein ungültiges Format. Überprüfen Sie die Datei, und versuchen Sie es erneut."		 Die importierte Datei ist keine gültige JSON-Datei. Überprüfen Sie die Datei auf Probleme, und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei, und versuchen Sie es dann erneut.
Fehler bei der Bereitstellung im Zielarbeitsbereich mit Fehlermeldung:
"In der Datei wurden keine Ressourcen gefunden. Stellen Sie sicher, dass die Datei Bereitstellungsressourcen enthält, und versuchen Sie es erneut.		 Die Liste der Ressourcen unter dem Schlüssel "resources" in der JSON-Datei ist leer. Überprüfen Sie die Datei auf Probleme, und versuchen Sie es erneut. Um optimale Ergebnisse zu erzielen, exportieren Sie die ursprüngliche Regel erneut in eine neue Datei, und versuchen Sie es dann erneut.

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie Automatisierungsregeln in und aus ARM-Vorlagen exportieren und importieren.

  • Last updated on