Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Aangepaste detecties is nu de beste manier om nieuwe regels te maken in Microsoft Sentinel SIEM-Microsoft Defender XDR. Met aangepaste detecties kunt u de opnamekosten verlagen, onbeperkte realtime detecties krijgen en profiteren van naadloze integratie met Defender XDR gegevens, functies en herstelacties met automatische entiteitstoewijzing. Lees dit blog voor meer informatie.
Belangrijk
Het exporteren en importeren van regels is in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Inleiding
U kunt nu uw analyseregels exporteren naar arm-sjabloonbestanden (Azure Resource Manager) en regels uit deze bestanden importeren als onderdeel van het beheren en beheren van uw Microsoft Sentinel-implementaties als code. Met de exportactie wordt een JSON-bestand ( met de naam Azure_Sentinel_analytic_rule.json) gemaakt op de downloadlocatie van uw browser, dat u vervolgens kunt hernoemen, verplaatsen en anders kunt verwerken zoals elk ander bestand.
Het geëxporteerde JSON-bestand is onafhankelijk van de werkruimte, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.
Het bestand bevat alle parameters die zijn gedefinieerd in de analyseregel, dus voor geplande regels bevat het de onderliggende query en de bijbehorende planningsinstellingen, de ernst, het maken van incidenten, instellingen voor het groeperen van gebeurtenissen en waarschuwingen, toegewezen MITRE ATT&CK-tactieken en meer. Elk type analyseregel, niet alleen Gepland , kan worden geëxporteerd naar een JSON-bestand.
Regels exporteren
Selecteer Analyse in het navigatiemenu Microsoft Sentinel.
Selecteer de regel die u wilt exporteren en klik op Exporteren in de balk bovenaan het scherm.
Opmerking
U kunt meerdere analyseregels tegelijk selecteren om te exporteren door de selectievakjes naast de regels te markeren en aan het einde op Exporteren te klikken.
U kunt alle regels op één pagina van het weergaveraster in één keer exporteren door het selectievakje in de veldnamenrij (naast ERNST) te markeren voordat u op Exporteren klikt. U kunt echter niet meer dan één pagina aan regels tegelijk exporteren.
Houd er rekening mee dat in dit scenario één bestand ( met de naam Azure_Sentinel_analytic_rules.json) wordt gemaakt en JSON-code bevat voor alle geëxporteerde regels.
Regels importeren
Een JSON-bestand met een ARM-sjabloon voor analyseregel gereed hebben.
Selecteer Analyse in het navigatiemenu Microsoft Sentinel.
Klik op Importeren in de balk boven aan het scherm. Ga in het resulterende dialoogvenster naar het JSON-bestand dat de regel vertegenwoordigt die u wilt importeren en selecteer Openen.
Opmerking
U kunt maximaal 50 analyseregels importeren uit één ARM-sjabloonbestand.
Volgende stappen
In dit document hebt u geleerd hoe u analyseregels naar en van ARM-sjablonen kunt exporteren en importeren.
- Meer informatie over analyseregels, waaronder aangepaste geplande regels.
- Meer informatie over ARM-sjablonen.