Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beheer uw Microsoft Sentinel automatiseringsregels als code! U kunt nu uw automatiseringsregels exporteren naar arm-sjabloonbestanden (Azure Resource Manager) en regels uit deze bestanden importeren als onderdeel van uw programma om uw Microsoft Sentinel implementaties als code te beheren en te beheren. Met de exportactie wordt een JSON-bestand gemaakt op de downloadlocatie van uw browser, dat u vervolgens kunt hernoemen, verplaatsen en anders kunt verwerken zoals elk ander bestand.
Het geëxporteerde JSON-bestand is onafhankelijk van de werkruimte, zodat het kan worden geïmporteerd in andere werkruimten en zelfs andere tenants. Als code kan het ook versiebeheerd, bijgewerkt en geïmplementeerd worden in een beheerd CI/CD-framework.
Het bestand bevat alle parameters die zijn gedefinieerd in de automatiseringsregel. Regels van elk type trigger kunnen worden geëxporteerd naar een JSON-bestand.
In dit artikel wordt beschreven hoe u automatiseringsregels exporteert en importeert.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Regels exporteren
Selecteer automatisering in het navigatiemenu Microsoft Sentinel.
Selecteer de regel (of regels, zie opmerking) die u wilt exporteren en selecteer Exporteren in de balk bovenaan het scherm.
Zoek het geëxporteerde bestand in de map Downloads. Deze heeft dezelfde naam als de automatiseringsregel, met een .json-extensie.
Opmerking
U kunt meerdere automatiseringsregels tegelijk selecteren voor export door de selectievakjes naast de regels te markeren en Aan het einde Exporteren te selecteren.
U kunt alle regels op één pagina van het weergaveraster tegelijk exporteren door het selectievakje in de veldnamenrij te markeren voordat u op Exporteren klikt. U kunt echter niet meer dan één pagina aan regels tegelijk exporteren.
In dit scenario wordt één bestand ( met de naam Azure_Sentinel_automation_rules.json) gemaakt dat JSON-code bevat voor alle geëxporteerde regels.
Regels importeren
Zorg dat een JSON-bestand met een ARM-sjabloon voor automatiseringsregel gereed is.
Selecteer automatisering in het navigatiemenu Microsoft Sentinel.
Selecteer Importeren in de balk bovenaan het scherm. Ga in het resulterende dialoogvenster naar het JSON-bestand dat de regel vertegenwoordigt die u wilt importeren en selecteer Openen.
Opmerking
U kunt maximaal 50 automatiseringsregels importeren uit één ARM-sjabloonbestand.
Problemen oplossen
Als u problemen ondervindt bij het importeren van een geëxporteerde automatiseringsregel, raadpleegt u de volgende tabel.
| Gedrag (met fout) | Reden | Voorgestelde actie |
|---|---|---|
|
Geïmporteerde automatiseringsregel is uitgeschakeld - En- De voorwaarde voor de analyseregel van de regel geeft 'Onbekende regel' weer |
De regel bevat een voorwaarde die verwijst naar een analyseregel die niet bestaat in de doelwerkruimte. |
|
|
Geïmporteerde automatiseringsregel is uitgeschakeld - En- De sleutelvoorwaarde voor aangepaste details van de regel geeft 'Onbekende aangepaste detailssleutel' weer |
De regel bevat een voorwaarde die verwijst naar een aangepaste detailssleutel die niet is gedefinieerd in analyseregels in de doelwerkruimte. |
|
|
De implementatie is mislukt in de doelwerkruimte, met een foutbericht: 'Automation-regels kunnen niet worden geïmplementeerd.' Implementatiedetails bevatten de redenen die worden vermeld in de volgende kolom voor een fout. |
Het playbook is verplaatst. - Of- Het playbook is verwijderd. - Of- De doelwerkruimte heeft geen toegang tot het playbook. |
Zorg ervoor dat het playbook bestaat en dat de doelwerkruimte de juiste toegang heeft tot de resourcegroep die het playbook bevat. |
|
De implementatie is mislukt in de doelwerkruimte, met een foutbericht: 'Automation-regels kunnen niet worden geïmplementeerd.' Implementatiedetails bevatten de redenen die worden vermeld in de volgende kolom voor een fout . |
De automatiseringsregel was na de gedefinieerde vervaldatum toen u deze importeerde. |
Als u wilt dat de regel verlopen blijft in de oorspronkelijke werkruimte:
|
|
Implementatie is mislukt in de doelwerkruimte, met foutbericht: 'Het JSON-bestand dat u probeert te importeren, heeft een ongeldige indeling. Controleer het bestand en probeer het opnieuw.' |
Het geïmporteerde bestand is geen geldig JSON-bestand. | Controleer het bestand op problemen en probeer het opnieuw. Voor de beste resultaten exporteert u de oorspronkelijke regel opnieuw naar een nieuw bestand en probeert u vervolgens opnieuw te importeren. |
|
Implementatie is mislukt in de doelwerkruimte, met foutbericht: 'Er zijn geen resources gevonden in het bestand. Zorg ervoor dat het bestand implementatieresources bevat en probeer het opnieuw.' |
De lijst met resources onder de sleutel 'resources' in het JSON-bestand is leeg. | Controleer het bestand op problemen en probeer het opnieuw. Voor de beste resultaten exporteert u de oorspronkelijke regel opnieuw naar een nieuw bestand en probeert u vervolgens opnieuw te importeren. |
Volgende stappen
In dit document hebt u geleerd hoe u automatiseringsregels naar en vanuit ARM-sjablonen kunt exporteren en importeren.
- Meer informatie over automatiseringsregels en hoe u deze kunt maken en ermee werken.
- Meer informatie over ARM-sjablonen.