Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel Microsoft Defender XDR SIEM. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.
Importante
L’exportation et l’importation de règles sont en PRÉVERSION. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.
Introduction
Vous pouvez maintenant exporter vos règles d’analyse vers des fichiers de modèle Azure Resource Manager (ARM) et importer des règles à partir de ces fichiers, dans le cadre de la gestion et du contrôle de vos déploiements Microsoft Sentinel en tant que code. L’action d’exportation crée un fichier JSON (nommé Azure_Sentinel_analytic_rule.json) dans l’emplacement des téléchargements de votre navigateur, que vous pouvez ensuite renommer, déplacer et gérer comme n’importe quel autre fichier.
Le fichier JSON exporté étant indépendant de l’espace de travail, il peut être importé dans d’autres espaces de travail et même dans d’autres locataires. En tant que code, il peut également être contrôlé par une version, mis à jour et déployé dans une infrastructure CI/CD managée.
Le fichier inclut tous les paramètres définis dans la règle d’analyse. Par conséquent, pour les règles planifiées , il inclut la requête sous-jacente et les paramètres de planification qui l’accompagnent, la gravité, la création d’incidents, les paramètres de regroupement d’événements et d’alertes, les tactiques MITRE ATT&CK affectées, etc. N’importe quel type de règle d’analyse , et pas seulement planifié, peut être exporté vers un fichier JSON.
Règles d’exportation
Dans le menu de navigation Microsoft Sentinel, sélectionnez Analytique.
Sélectionnez la règle que vous souhaitez exporter, puis cliquez sur Exporter dans la barre en haut de l’écran.
Remarque
Vous pouvez sélectionner plusieurs règles d’analyse à la fois pour l’exportation en marquant les zones case activée en regard des règles et en cliquant sur Exporter à la fin.
Vous pouvez exporter toutes les règles sur une seule page de la grille d’affichage à la fois, en marquant la zone case activée dans la ligne d’en-tête (en regard de GRAVITÉ) avant de cliquer sur Exporter. Toutefois, vous ne pouvez pas exporter plus d’une page de règles à la fois.
N’oubliez pas que dans ce scénario, un seul fichier (nommé Azure_Sentinel_analytic_rules.json) est créé et contient du code JSON pour toutes les règles exportées.
Règles d’importation
Disposer d’un fichier JSON de modèle ARM de règle d’analyse prêt.
Dans le menu de navigation Microsoft Sentinel, sélectionnez Analytique.
Cliquez sur Importer dans la barre en haut de l’écran. Dans la boîte de dialogue qui s’affiche, accédez à et sélectionnez le fichier JSON représentant la règle que vous souhaitez importer, puis sélectionnez Ouvrir.
Remarque
Vous pouvez importer jusqu’à 50 règles d’analyse à partir d’un seul fichier de modèle ARM.
Étapes suivantes
Dans ce document, vous avez appris à exporter et importer des règles analytiques vers et à partir de modèles ARM.
- En savoir plus sur les règles d’analyse, notamment les règles planifiées personnalisées.
- En savoir plus sur les modèles ARM.