ARM テンプレートとの間で自動化ルールをエクスポートおよびインポートする

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel自動化ルールをコードとして管理します。 プログラムの一部として、自動化ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートして、Microsoft Sentinelデプロイをコードとして管理および制御できるようになりました。 エクスポート アクションでは、ブラウザーのダウンロード場所に JSON ファイルが作成されます。これにより、他のファイルと同様に名前の変更、移動、その他の処理を行うことができます。

エクスポートされた JSON ファイルはワークスペースに依存しないため、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。

ファイルには、オートメーション ルールで定義されているすべてのパラメーターが含まれています。 任意のトリガーの種類のルールを JSON ファイルにエクスポートできます。

この記事では、オートメーション ルールをエクスポートおよびインポートする方法について説明します。

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

ルールのエクスポート

  1. Microsoft Sentinel ナビゲーション メニューで、[オートメーション] を選択します

  2. エクスポートするルール (またはルールを参照) を選択し、画面上部のバーから [エクスポート ] を選択します。

    自動化ルールをエクスポートする方法を示すスクリーンショット。

    エクスポートしたファイルをダウンロード フォルダーで見つけます。 自動化規則と同じ名前で、.json拡張子が付いています。

    注:

    • 複数のオートメーション ルールを一度に選択してエクスポートするには、ルールの横にある [チェック] ボックスにマークを付け、最後に [エクスポート] を選択します。

    • [エクスポート] をクリックする前にヘッダー行の [チェック] ボックスにマークを付けることで、表示グリッドの 1 ページにすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。

    • このシナリオでは、1 つのファイル ( Azure_Sentinel_automation_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードが含まれます。

インポート ルール

  1. 自動化ルール ARM テンプレート JSON ファイルを準備します。

  2. Microsoft Sentinel ナビゲーション メニューで、[オートメーション] を選択します

  3. 画面の上部にあるバーから [ インポート ] を選択します。 結果のダイアログ ボックスに移動し、インポートするルールを表す JSON ファイルを選択し、[ 開く] を選択します。

    自動化ルールをインポートする方法を示すスクリーンショット。

    注:

    1 つの ARM テンプレート ファイルから 最大 50 個の自動化ルールをインポートできます。

トラブルシューティング

エクスポートされた自動化規則のインポートに問題がある場合は、次の表を参照してください。

動作 ( エラーあり) 理由 提案されているアクション
インポートされた自動化ルールが無効になっている
- そして-
ルールの 分析ルール の条件に "不明なルール" が表示されます		 ルールには、ターゲット ワークスペースに存在しない分析ルールを参照する条件が含まれています。
  1. 参照先の分析ルールを元のワークスペースからエクスポートし、ターゲット ワークスペースにインポートします。
  2. ターゲット ワークスペースで自動化ルールを編集し、ドロップダウンから現在表示されている分析ルールを選択します。
  3. 自動化ルールを有効にします。
インポートされた自動化ルールが無効になっている
- そして-
ルールの カスタム詳細キー 条件に "不明なカスタム詳細キー" が表示されます		 ルールには、ターゲット ワークスペース内の分析ルールで定義されていない カスタム詳細キー を参照する条件が含まれています。
  1. 参照先の分析ルールを元のワークスペースからエクスポートし、ターゲット ワークスペースにインポートします。
  2. ターゲット ワークスペースで自動化ルールを編集し、ドロップダウンから現在表示されている分析ルールを選択します。
  3. 自動化ルールを有効にします。
ターゲット ワークスペースでのデプロイに失敗しました。"Automation ルールのデプロイに失敗しました"というエラー メッセージが表示されました。
デプロイの詳細には、次の列に記載されているエラーの理由が含まれています。		 プレイブックが移動されました。
- または-
プレイブックが削除されました。
- または-
ターゲット ワークスペースはプレイブックにアクセスできません。		 プレイブックが存在し、ターゲット ワークスペースがプレイブックを含むリソース グループに適切なアクセス権を持っていることを確認します。
ターゲット ワークスペースでのデプロイに失敗しました。"Automation ルールのデプロイに失敗しました"というエラー メッセージが表示されました。
デプロイの詳細には、エラーの次の列に一覧表示されている理由が含まれています。		 自動化ルールは、インポート時に定義された有効期限を過ぎました。 元のワークスペースでルールの有効期限が切れたままにする場合は、次の手順を実行します。
  1. エクスポートされた自動化ルールを表す JSON ファイルを編集します。
  2. 有効期限 ( "expirationTimeUtc":文字列の直後に表示される) を見つけて、新しい有効期限 (将来) に置き換えます。
  3. ファイルを保存し、ターゲット ワークスペースに再インポートします。
ルールを元のワークスペースでアクティブな状態に戻す場合:
  1. 元のワークスペースでオートメーション ルールを編集し、有効期限を将来の日付に変更します。
  2. 元のワークスペースからルールをもう一度エクスポートします。
  3. 新しくエクスポートしたバージョンをターゲット ワークスペースにインポートします。
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示されました。
"インポートしようとした JSON ファイルの形式が無効です。ファイルをチェックして、もう一度やり直してください		 インポートされたファイルは有効な JSON ファイルではありません。 ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、インポートをやり直してください。
ターゲット ワークスペースでのデプロイに失敗し、次のエラー メッセージが表示されました。
"ファイルにリソースが見つかりません。ファイルにデプロイ リソースが含まれていることを確認し、やり直してください		 JSON ファイルの "resources" キーの下にあるリソースの一覧が空です。 ファイルに問題がないか確認し、もう一度やり直してください。 最良の結果を得るには、元のルールをもう一度新しいファイルにエクスポートしてから、インポートをやり直してください。

次の手順

このドキュメントでは、ARM テンプレートとの間で自動化ルールをエクスポートおよびインポートする方法について説明しました。

  • Last updated on