Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Faça a gestão das regras de automatização Microsoft Sentinel como código! Agora, pode exportar as regras de automatização para Azure Resource Manager ficheiros de modelo (ARM) e importar regras destes ficheiros, como parte do programa para gerir e controlar as implementações Microsoft Sentinel como código. A ação de exportação cria um ficheiro JSON na localização de transferências do browser, que, em seguida, pode mudar o nome, mover e processar como qualquer outro ficheiro.
O ficheiro JSON exportado é independente da área de trabalho, pelo que pode ser importado para outras áreas de trabalho e até mesmo para outros inquilinos. Como código, também pode ser controlado por versões, atualizado e implementado numa estrutura CI/CD gerida.
O ficheiro inclui todos os parâmetros definidos na regra de automatização. As regras de qualquer tipo de acionador podem ser exportadas para um ficheiro JSON.
Este artigo mostra-lhe como exportar e importar regras de automatização.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Regras de exportação
No menu de navegação Microsoft Sentinel, selecione Automatização.
Selecione a regra (ou regras— ver nota) que pretende exportar e selecione Exportar na barra na parte superior do ecrã.
Localize o ficheiro exportado na pasta Transferências. Tem o mesmo nome que a regra de automatização, com uma extensão .json.
Observação
Pode selecionar múltiplas regras de automatização ao mesmo tempo para exportação ao marcar as caixas de marcar junto às regras e ao selecionar Exportar no final.
Pode exportar todas as regras numa única página da grelha de visualização ao mesmo tempo, marcando a caixa de marcar na linha de cabeçalho antes de clicar em Exportar. No entanto, não pode exportar mais do que uma página de regras de cada vez.
Neste cenário, é criado um único ficheiro (denominado Azure_Sentinel_automation_rules.json) e contém código JSON para todas as regras exportadas.
Importar regras
Ter um ficheiro JSON de modelo arm de regra de automatização pronto.
No menu de navegação Microsoft Sentinel, selecione Automatização.
Selecione Importar na barra na parte superior do ecrã. Na caixa de diálogo resultante, navegue para e selecione o ficheiro JSON que representa a regra que pretende importar e selecione Abrir.
Observação
Pode importar até 50 regras de automatização a partir de um único ficheiro de modelo do ARM.
Solução de problemas
Se tiver problemas ao importar uma regra de automatização exportada, consulte a tabela seguinte.
| Comportamento (com erro) | Reason | Ação sugerida |
|---|---|---|
|
A regra de automatização importada está desativada - e- A condição da regra de análise da regra apresenta "Regra desconhecida" |
A regra contém uma condição que se refere a uma regra de análise que não existe na área de trabalho de destino. |
|
|
A regra de automatização importada está desativada - e- A condição de chave de detalhes personalizados da regra apresenta "Chave de detalhes personalizada desconhecida" |
A regra contém uma condição que se refere a uma chave de detalhes personalizada que não é definida em nenhuma regra de análise na área de trabalho de destino. |
|
|
A implementação falhou na área de trabalho de destino, com a mensagem de erro: "As regras de automatização não foram implementadas.". Os detalhes da implementação contêm os motivos listados na coluna seguinte para a falha. |
O manual de procedimentos foi movido. - ou- O manual de procedimentos foi eliminado. - ou- A área de trabalho de destino não tem acesso ao manual de procedimentos. |
Certifique-se de que o manual de procedimentos existe e de que a área de trabalho de destino tem o acesso certo ao grupo de recursos que contém o manual de procedimentos. |
|
A implementação falhou na área de trabalho de destino, com a mensagem de erro: "As regras de automatização não foram implementadas.". Os detalhes da implementação contêm os motivos listados na coluna seguinte para a falha . |
A regra de automatização ultrapassou a data de expiração definida quando a importou. |
Se quiser que a regra permaneça expirada na área de trabalho original:
|
|
A implementação falhou na área de trabalho de destino, com a mensagem de erro: "O ficheiro JSON que tentou importar tem um formato inválido. Por favor, marcar o ficheiro e tente novamente." |
O ficheiro importado não é um ficheiro JSON válido. | Verifique se existem problemas no ficheiro e tente novamente. Para obter os melhores resultados, exporte novamente a regra original para um novo ficheiro e, em seguida, tente importar novamente. |
|
A implementação falhou na área de trabalho de destino, com a mensagem de erro: "Não foram encontrados recursos no ficheiro. Certifique-se de que o ficheiro contém recursos de implementação e tente novamente." |
A lista de recursos na chave "resources" (recursos) no ficheiro JSON está vazia. | Verifique se existem problemas no ficheiro e tente novamente. Para obter os melhores resultados, exporte novamente a regra original para um novo ficheiro e, em seguida, tente importar novamente. |
Próximas etapas
Neste documento, aprendeu a exportar e importar regras de automatização de e para modelos do ARM.
- Saiba mais sobre as regras de automatização e como criar e trabalhar com as mesmas.
- Saiba mais sobre os modelos do ARM.