Automaatiosääntöjen vieminen JA tuominen ARM-malleihin ja malleja

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Hallitse Microsoft Sentinel automaatiosääntöjä koodina! Voit nyt viedä automaatiosäännöt Azure Resource Manager (ARM) -mallitiedostoihin ja tuoda sääntöjä näistä tiedostoista osana ohjelmaasi, jotta voit hallita ja hallita Microsoft Sentinel käyttöönottoja koodina. Vientitoiminto luo JSON-tiedoston selaimen lataussijaintiin, jonka voit sitten nimetä uudelleen, siirtää ja käsitellä muulla tavoin kuin mitä tahansa muuta tiedostoa.

Viety JSON-tiedosto on työtilariippumaton, joten se voidaan tuoda muihin työtiloihin ja jopa muihin vuokraajiin. Koodina se voidaan myös versioohjata, päivittää ja ottaa käyttöön hallitussa CI/CD-kehyksessä.

Tiedosto sisältää kaikki automaatiosäännössä määritetyt parametrit. Mitä tahansa käynnistintyyppiä olevat säännöt voidaan viedä JSON-tiedostoon.

Tässä artikkelissa kerrotaan, miten voit viedä ja tuoda automaatiosääntöjä.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Vie säännöt

  1. Valitse Microsoft Sentinel siirtymisvalikosta Automaatio.

  2. Valitse vietävä sääntö (tai säännöt – katso huomautus) ja valitse Vie näytön yläreunan palkista.

    Näyttökuva, jossa näytetään, miten voit viedä automaatiosäännön.

    Etsi viety tiedosto Lataukset-kansiosta. Sillä on sama nimi kuin automaatiosäännöllä, jonka tunniste on .json.

    Huomautus

    • Voit valita useita automaatiosääntöjä kerralla vietäväksi merkitsemällä sääntöjen vieressä olevat valintaruudut ja valitsemalla lopuksi Vie .

    • Voit viedä kaikki säännöt näyttöruudukon yhdelle sivulle kerralla merkitsemällä valintaruudun otsikkoriville, ennen kuin valitset Vie. Et kuitenkaan voi viedä kuin yhden sivun edestä sääntöjä kerrallaan.

    • Tässä skenaariossa luodaan yksittäinen tiedosto (nimeltään Azure_Sentinel_automation_rules.json), joka sisältää kaikkien vietyjen sääntöjen JSON-koodin.

Tuo säännöt

  1. Automaatiosäännön ARM-mallin JSON-tiedosto on valmis.

  2. Valitse Microsoft Sentinel siirtymisvalikosta Automaatio.

  3. Valitse Tuo näytön yläreunan palkista. Siirry näyttöön avautuvassa valintaikkunassa ja valitse tuotavaa sääntöä edustava JSON-tiedosto ja valitse Avaa.

    Näyttökuva, jossa näytetään, miten voit tuoda automaatiosäännön.

    Huomautus

    Voit tuoda enintään 50 automaatiosääntöä yksittäisestä ARM-mallitiedostosta.

Vianmääritys

Jos sinulla on ongelmia viedyn automaatiosäännön tuonnissa, tutustu seuraavaan taulukkoon.

Toiminta ( virheen kanssa) Syy Ehdotettu toiminto
Tuotu automaatiosääntö on poistettu käytöstä
- Ja-
Säännön analytiikkasäännön ehto näyttää "tuntemattoman säännön"		 Sääntö sisältää ehdon, joka viittaa analytiikkasääntöön, jota ei ole kohdetyötilassa.
  1. Vie viitattu analytiikkasääntö alkuperäisestä työtilasta ja tuo se kohdesijainniin.
  2. Muokkaa kohdetyötilan automaatiosääntöä ja valitse avattavasta valikosta nykyinen analytiikkasääntö.
  3. Ota automaatiosääntö käyttöön.
Tuotu automaatiosääntö on poistettu käytöstä
- Ja-
Säännön mukautettujen tietojen avainehto näyttää "Tuntematon mukautettujen tietojen avain"		 Sääntö sisältää ehdon, joka viittaa mukautettuun tietoavaimeen , jota ei ole määritetty missään kohdetyötilan analytiikkasäännöissä.
  1. Vie viitattu analytiikkasääntö alkuperäisestä työtilasta ja tuo se kohdesijainniin.
  2. Muokkaa kohdetyötilan automaatiosääntöä ja valitse avattavasta valikosta nykyinen analytiikkasääntö.
  3. Ota automaatiosääntö käyttöön.
Käyttöönotto epäonnistui kohdetyötilassa. Virhesanoma: automaatiosääntöjen käyttöönotto epäonnistui.
Käyttöönoton tiedot sisältävät seuraavassa sarakkeessa luetellut virheen syyt.		 Pelikirja siirrettiin.
- Tai-
Pelikirja poistettiin.
- Tai-
Kohdetyötilalla ei ole käyttöoikeutta toistokirjaan.		 Varmista, että pelikirja on olemassa ja että kohdetyötilalla on oikeat käyttöoikeudet resurssiryhmään, joka sisältää pelikirjan.
Käyttöönotto epäonnistui kohdetyötilassa. Virhesanoma: automaatiosääntöjen käyttöönotto epäonnistui.
Käyttöönoton tiedot sisältävät seuraavassa sarakkeessa luetellut virheen syyt.		 Automaatiosääntö ohitti määritetyn vanhentumispäivämäärän, kun toit sen. Jos haluat säännön pysyvän vanhentuneena alkuperäisessä työtilassaan, toimi seuraavasti:
  1. Muokkaa JSON-tiedostoa, joka edustaa vietyä automaatiosääntöä.
  2. Etsi vanhentumispäivämäärä (joka tulee näkyviin heti merkkijonon "expirationTimeUtc":jälkeen ) ja korvaa se uudella vanhentumispäivämäärällä (tulevaisuudessa).
  3. Tallenna tiedosto ja tuo se uudelleen kohdetyötilaan.
Jos haluat säännön palaavan aktiiviseen tilaan alkuperäisessä työtilassaan:
  1. Muokkaa automaatiosääntöä alkuperäisessä työtilassa ja muuta sen vanhentumispäivämääräksi tulevaisuudessa.
  2. Vie sääntö uudelleen alkuperäisestä työtilasta.
  3. Tuo juuri viety versio kohdetyötilaan.
Käyttöönotto epäonnistui kohdetyötilassa. Virhesanoma:
"Tuotavan JSON-tiedoston muoto on virheellinen. Tarkista tiedosto ja yritä uudelleen.		 Tuotu tiedosto ei ole kelvollinen JSON-tiedosto. Tarkista, onko tiedostossa ongelmia, ja yritä uudelleen. Saat parhaat tulokset viemalla alkuperäisen säännön uudelleen uuteen tiedostoon ja yrittämällä sitten tuontia uudelleen.
Käyttöönotto epäonnistui kohdetyötilassa. Virhesanoma:
"Tiedostosta ei löytynyt resursseja. Varmista, että tiedosto sisältää käyttöönottoresursseja, ja yritä uudelleen."		 Luettelo resursseista JSON-tiedoston "resurssit"-avaimessa on tyhjä. Tarkista, onko tiedostossa ongelmia, ja yritä uudelleen. Saat parhaat tulokset viemalla alkuperäisen säännön uudelleen uuteen tiedostoon ja yrittämällä sitten tuontia uudelleen.

Seuraavat vaiheet

Tässä asiakirjassa opit viemään ja tuomaan automaatiosääntöjä ARM-malleihin ja -malleista.

  • Last updated on