Eksportere og importere automatiseringsregler til og fra ARM-maler

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Administrer Microsoft Sentinel automatiseringsregler som kode! Nå kan du eksportere automatiseringsreglene til Azure Resource Manager (ARM)-malfiler og importere regler fra disse filene, som en del av programmet for å administrere og kontrollere Microsoft Sentinel distribusjoner som kode. Eksporthandlingen oppretter en JSON-fil i nettleserens nedlastingsplassering, som du deretter kan gi nytt navn til, flytte og ellers håndtere som alle andre filer.

Den eksporterte JSON-filen er arbeidsområdeuavhengig, slik at den kan importeres til andre arbeidsområder og til og med andre leiere. Som kode kan den også være versjonsstyrt, oppdatert og distribuert i et administrert CI/CD-rammeverk.

Filen inneholder alle parameterne som er definert i automatiseringsregelen. Regler av hvilken som helst utløsertype kan eksporteres til en JSON-fil.

Denne artikkelen viser deg hvordan du eksporterer og importerer automatiseringsregler.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Eksporter regler

  1. Velg Automatisering fra navigasjonsmenyen Microsoft Sentinel.

  2. Velg regelen (eller reglene – se notatet) du vil eksportere, og velg Eksporter fra linjen øverst på skjermen.

    Skjermbilde som viser hvordan du eksporterer en automatiseringsregel.

    Finn den eksporterte filen i Nedlastinger-mappen. Den har samme navn som automatiseringsregelen, med en .json utvidelse.

    Obs!

    • Du kan velge flere automatiseringsregler samtidig for eksport ved å merke av i avmerkingsboksene ved siden av reglene og velge Eksporter på slutten.

    • Du kan eksportere alle reglene på én enkelt side i visningsrutenettet samtidig ved å merke av i avmerkingsboksen i overskriftsraden før du klikker Eksporter. Du kan imidlertid ikke eksportere mer enn én side med regler om gangen.

    • I dette scenarioet opprettes én enkelt fil (kalt Azure_Sentinel_automation_rules.json) og inneholder JSON-kode for alle eksporterte regler.

Importer regler

  1. Ha en ARM-mal-JSON-malfil for automatiseringsregel klar.

  2. Velg Automatisering fra navigasjonsmenyen Microsoft Sentinel.

  3. Velg Importer fra linjen øverst på skjermen. Gå til og velg JSON-filen som representerer regelen du vil importere, i den resulterende dialogboksen, og velg Åpne.

    Skjermbilde som viser hvordan du importerer en automatiseringsregel.

    Obs!

    Du kan importere opptil 50 automatiseringsregler fra én enkelt ARM-malfil.

Feilsøking

Hvis du har problemer med å importere en eksportert automatiseringsregel, kan du se tabellen nedenfor.

Virkemåte (med feil) Grunn Foreslått handling
Importert automatiseringsregel er deaktivert
- Og-
Regelens analyseregelbetingelse viser «Ukjent regel»		 Regelen inneholder en betingelse som refererer til en analyseregel som ikke finnes i målarbeidsområdet.
  1. Eksporter den refererte analyseregelen fra det opprinnelige arbeidsområdet, og importer den til målet.
  2. Rediger automatiseringsregelen i målarbeidsområdet, og velg den nå tilstedeværende analyseregelen fra rullegardinlisten.
  3. Aktiver automatiseringsregelen.
Importert automatiseringsregel er deaktivert
- Og-
Nøkkelbetingelsen «Ukjente egendefinerte detaljer» vises for regelens egendefinerte detaljer		 Regelen inneholder en betingelse som refererer til en egendefinert detaljnøkkel som ikke er definert i noen analyseregler i målarbeidsområdet.
  1. Eksporter den refererte analyseregelen fra det opprinnelige arbeidsområdet, og importer den til målet.
  2. Rediger automatiseringsregelen i målarbeidsområdet, og velg den nå tilstedeværende analyseregelen fra rullegardinlisten.
  3. Aktiver automatiseringsregelen.
Distribusjon mislyktes i målarbeidsområdet, med feilmelding: Automatiseringsregler kan ikke distribueres.
Distribusjonsdetaljer inneholder årsakene som er oppført i neste kolonne for feil.		 Strategiplanen ble flyttet.
- Eller-
Strategiplanen ble slettet.
- Eller-
Målarbeidsområdet har ikke tilgang til strategiplanen.		 Kontroller at strategiplanen finnes, og at målarbeidsområdet har riktig tilgang til ressursgruppen som inneholder strategiplanen.
Distribusjon mislyktes i målarbeidsområdet, med feilmelding: Automatiseringsregler kan ikke distribueres.
Distribusjonsdetaljer inneholder årsakene som er oppført i den neste kolonnen for feil.		 Automatiseringsregelen var forbi den definerte utløpsdatoen da du importerte den. Hvis du vil at regelen skal forbli utløpt i det opprinnelige arbeidsområdet:
  1. Rediger JSON-filen som representerer den eksporterte automatiseringsregelen.
  2. Finn utløpsdatoen (som vises rett etter strengen "expirationTimeUtc":) og erstatt den med en ny utløpsdato (i fremtiden).
  3. Lagre filen, og importer den på nytt til målarbeidsområdet.
Hvis du vil at regelen skal gå tilbake til aktiv status i det opprinnelige arbeidsområdet:
  1. Rediger automatiseringsregelen i det opprinnelige arbeidsområdet, og endre utløpsdatoen til en dato i fremtiden.
  2. Eksporter regelen på nytt fra det opprinnelige arbeidsområdet.
  3. Importer den nylig eksporterte versjonen til målarbeidsområdet.
Distribusjon mislyktes i målarbeidsområdet, med feilmelding:
«JSON-filen du prøvde å importere, har et ugyldig format. Kontroller filen, og prøv på nytt."		 Den importerte filen er ikke en gyldig JSON-fil. Kontroller filen for problemer, og prøv på nytt. Hvis du vil ha best resultat, eksporterer du den opprinnelige regelen på nytt til en ny fil, og deretter prøver du importen på nytt.
Distribusjon mislyktes i målarbeidsområdet, med feilmelding:
"Finner ingen ressurser i filen. Kontroller at filen inneholder distribusjonsressurser, og prøv på nytt."		 Listen over ressurser under ressursnøkkelen i JSON-filen er tom. Kontroller filen for problemer, og prøv på nytt. Hvis du vil ha best resultat, eksporterer du den opprinnelige regelen på nytt til en ny fil, og deretter prøver du importen på nytt.

Neste trinn

I dette dokumentet lærte du hvordan du eksporterer og importerer automatiseringsregler til og fra ARM-maler.

  • Last updated on