Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Hantera dina Microsoft Sentinel automationsregler som kod! Nu kan du exportera dina automatiseringsregler till Azure Resource Manager (ARM)-mallfiler och importera regler från dessa filer som en del av ditt program för att hantera och kontrollera dina Microsoft Sentinel-distributioner som kod. Exportåtgärden skapar en JSON-fil på webbläsarens nedladdningsplats, som du sedan kan byta namn på, flytta och på annat sätt hantera som alla andra filer.
Den exporterade JSON-filen är arbetsyteoberoende, så den kan importeras till andra arbetsytor och till och med andra klientorganisationer. Som kod kan den också versionskontrolleras, uppdateras och distribueras i ett hanterat CI/CD-ramverk.
Filen innehåller alla parametrar som definierats i automatiseringsregeln. Regler av valfri utlösartyp kan exporteras till en JSON-fil.
Den här artikeln visar hur du exporterar och importerar automatiseringsregler.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Exportera regler
I navigeringsmenyn Microsoft Sentinel väljer du Automation.
Välj den regel (eller regler – se anteckning) som du vill exportera och välj Exportera från fältet högst upp på skärmen.
Leta upp den exporterade filen i mappen Hämtade filer. Den har samma namn som automationsregeln, med ett .json tillägg.
Obs!
Du kan välja flera automatiseringsregler samtidigt för export genom att markera kryssrutorna bredvid reglerna och välja Exportera i slutet.
Du kan exportera alla regler på en enda sida i rutnätet samtidigt genom att markera kryssrutan på rubrikraden innan du klickar på Exportera. Du kan dock inte exportera fler än en sidas regler i taget.
I det här scenariot skapas en enda fil (med namnet Azure_Sentinel_automation_rules.json) och innehåller JSON-kod för alla exporterade regler.
Importera regler
Ha en automationsregel för ARM-mallens JSON-fil klar.
I navigeringsmenyn Microsoft Sentinel väljer du Automation.
Välj Importera i fältet överst på skärmen. I den resulterande dialogrutan navigerar du till och väljer JSON-filen som representerar den regel som du vill importera och väljer Öppna.
Obs!
Du kan importera upp till 50 automatiseringsregler från en enda ARM-mallfil.
Felsökning
Om du har problem med att importera en exporterad automatiseringsregel läser du följande tabell.
| Beteende (med fel) | Anledning | Föreslagna åtgärder |
|---|---|---|
|
Den importerade automatiseringsregeln är inaktiverad - Och- Regelns villkor för analysregeln visar "Okänd regel" |
Regeln innehåller ett villkor som refererar till en analysregel som inte finns på målarbetsytan. |
|
|
Den importerade automatiseringsregeln är inaktiverad - Och- Regelns nyckelvillkor för anpassad information visar "Okänd anpassad informationsnyckel" |
Regeln innehåller ett villkor som refererar till en anpassad informationsnyckel som inte har definierats i några analysregler på målarbetsytan. |
|
|
Distributionen misslyckades på målarbetsytan med ett felmeddelande: "Automation-regler kunde inte distribueras.". Distributionsinformationen innehåller de orsaker som anges i nästa kolumn för fel. |
Spelboken flyttades. - Eller- Spelboken har tagits bort. - Eller- Målarbetsytan har inte åtkomst till spelboken. |
Kontrollera att spelboken finns och att målarbetsytan har rätt åtkomst till resursgruppen som innehåller spelboken. |
|
Distributionen misslyckades på målarbetsytan med ett felmeddelande: "Automation-regler kunde inte distribueras.". Distributionsinformationen innehåller de orsaker som anges i nästa kolumn för fel . |
Automationsregeln hade passerat sitt definierade förfallodatum när du importerade den. |
Om du vill att regeln ska förbli förfallen på den ursprungliga arbetsytan:
|
|
Distributionen misslyckades på målarbetsytan med felmeddelande: "JSON-filen som du försökte importera har ett ogiltigt format. Kontrollera filen och försök igen." |
Den importerade filen är inte en giltig JSON-fil. | Kontrollera om det finns problem i filen och försök igen. För bästa resultat exporterar du den ursprungliga regeln igen till en ny fil och försöker sedan importera igen. |
|
Distributionen misslyckades på målarbetsytan med felmeddelande: "Inga resurser hittades i filen. Kontrollera att filen innehåller distributionsresurser och försök igen." |
Listan över resurser under nyckeln "resurser" i JSON-filen är tom. | Kontrollera om det finns problem i filen och försök igen. För bästa resultat exporterar du den ursprungliga regeln igen till en ny fil och försöker sedan importera igen. |
Nästa steg
I det här dokumentet har du lärt dig hur du exporterar och importerar automatiseringsregler till och från ARM-mallar.
- Läs mer om automatiseringsregler och hur du skapar och arbetar med dem.
- Läs mer om ARM-mallar.