Exportación e importación de reglas de automatización hacia y desde plantillas de ARM

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Administre las reglas de automatización de Microsoft Sentinel como código. Ahora puede exportar las reglas de automatización a archivos de plantilla de Azure Resource Manager (ARM) e importar reglas de estos archivos como parte del programa para administrar y controlar las implementaciones de Microsoft Sentinel como código. La acción de exportación crea un archivo JSON en la ubicación de descargas del explorador, que luego puede cambiar el nombre, mover y controlar como cualquier otro archivo.

El archivo JSON exportado es independiente del área de trabajo, por lo que se puede importar a otras áreas de trabajo e incluso a otros inquilinos. Como código, también se puede controlar, actualizar e implementar en un marco de CI/CD administrado.

El archivo incluye todos los parámetros definidos en la regla de automatización. Las reglas de cualquier tipo de desencadenador se pueden exportar a un archivo JSON.

En este artículo se muestra cómo exportar e importar reglas de automatización.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Reglas de exportación

En el menú de navegación Microsoft Sentinel, seleccione Automatización.
Seleccione la regla (o las reglas, vea la nota) que desea exportar y seleccione Exportar en la barra de la parte superior de la pantalla.

Busque el archivo exportado en la carpeta Descargas. Tiene el mismo nombre que la regla de automatización, con una extensión de .json.
Nota:
- Puede seleccionar varias reglas de automatización a la vez para la exportación marcando las casillas situadas junto a las reglas y seleccionando Exportar al final.
- Puede exportar todas las reglas en una sola página de la cuadrícula de visualización a la vez, marcando la casilla en la fila de encabezado antes de hacer clic en Exportar. Sin embargo, no puede exportar más de una página de reglas a la vez.
- En este escenario, se crea un único archivo (denominado Azure_Sentinel_automation_rules.json) y contiene código JSON para todas las reglas exportadas.

Reglas de importación

Tener un archivo JSON de plantilla de ARM de regla de automatización listo.
En el menú de navegación Microsoft Sentinel, seleccione Automatización.
Seleccione Importar en la barra de la parte superior de la pantalla. En el cuadro de diálogo resultante, vaya a y seleccione el archivo JSON que representa la regla que desea importar y seleccione Abrir.

Nota:

Puede importar hasta 50 reglas de automatización desde un único archivo de plantilla de ARM.

Solución de problemas

Si tiene algún problema al importar una regla de automatización exportada, consulte la tabla siguiente.

Comportamiento (con error)	Reason	Acción sugerida
La regla de automatización importada está deshabilitada - y- *La condición de regla de análisis* de la regla muestra "Regla desconocida"**	La regla contiene una condición que hace referencia a una regla de análisis que no existe en el área de trabajo de destino.	Exporte la regla de análisis a la que se hace referencia desde el área de trabajo original e impórela a la de destino. Edite la regla de automatización en el área de trabajo de destino y elija la regla de análisis ahora presente en la lista desplegable. Habilite la regla de automatización.
La regla de automatización importada está deshabilitada - y- *La condición de clave de detalles personalizados* de la regla muestra "Clave de detalles personalizados desconocidos"**	La regla contiene una condición que hace referencia a una clave de detalles personalizada que no está definida en ninguna regla de análisis del área de trabajo de destino.	Exporte la regla de análisis a la que se hace referencia desde el área de trabajo original e impórela a la de destino. Edite la regla de automatización en el área de trabajo de destino y elija la regla de análisis ahora presente en la lista desplegable. Habilite la regla de automatización.
*Error de implementación en el área de trabajo de destino, con un mensaje de error: "No se pudieron implementar las reglas de automatización".* Los detalles de la implementación contienen los motivos enumerados en la columna siguiente para el error.	El cuaderno de estrategias se movió. - o- Se eliminó el cuaderno de estrategias. - o- El área de trabajo de destino no tiene acceso al cuaderno de estrategias.	Asegúrese de que el cuaderno de estrategias existe y de que el área de trabajo de destino tiene el acceso adecuado al grupo de recursos que contiene el cuaderno de estrategias.
*Error de implementación en el área de trabajo de destino, con un mensaje de error: "No se pudieron implementar las reglas de automatización".* Los detalles de la implementación contienen los motivos enumerados en la columna siguiente para el error .	La regla de automatización ha superado la fecha de expiración definida al importarla.	Si desea que la regla permanezca expirada en su área de trabajo original: Edite el archivo JSON que representa la regla de automatización exportada. Busque la fecha de expiración (que aparece inmediatamente después de la cadena `"expirationTimeUtc":`) y reemplácela por una nueva fecha de expiración (en el futuro). Guarde el archivo y vuelva a importarlo en el área de trabajo de destino. Si desea que la regla vuelva al estado activo en su área de trabajo original: Edite la regla de automatización en el área de trabajo original y cambie su fecha de expiración a una fecha en el futuro. Vuelva a exportar la regla desde el área de trabajo original. Importe la versión recién exportada en el área de trabajo de destino.
Error de implementación en el área de trabajo de destino, con el mensaje de error: "El archivo JSON que intentó importar tiene un formato no válido. Compruebe el archivo e inténtelo de nuevo".	El archivo importado no es un archivo JSON válido.	Compruebe si hay problemas en el archivo e inténtelo de nuevo. Para obtener los mejores resultados, vuelva a exportar la regla original a un nuevo archivo y vuelva a intentar la importación.
Error de implementación en el área de trabajo de destino, con el mensaje de error: "No se encontró ningún recurso en el archivo. Asegúrese de que el archivo contiene recursos de implementación e inténtelo de nuevo".	La lista de recursos en la clave "resources" del archivo JSON está vacía.	Compruebe si hay problemas en el archivo e inténtelo de nuevo. Para obtener los mejores resultados, vuelva a exportar la regla original a un nuevo archivo y vuelva a intentar la importación.

Pasos siguientes

En este documento, ha aprendido a exportar e importar reglas de automatización hacia y desde plantillas de ARM.

Obtenga más información sobre las reglas de automatización y cómo crearlas y trabajar con ellas.
Obtenga más información sobre las plantillas de ARM.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23