Partager via


Exporter et importer des règles d’automatisation vers et depuis des modèles ARM

Gérez vos règles d’automatisation Microsoft Sentinel en tant que code ! Vous pouvez maintenant exporter vos règles d’automatisation vers des fichiers de modèle Azure Resource Manager (ARM) et importer des règles depuis ces fichiers dans le cadre de votre programme de gestion et de contrôle de vos déploiements Microsoft Sentinel en tant que code. L’action d’exportation entraîne la création d’un fichier JSON dans l’emplacement de téléchargement de votre navigateur. Vous pouvez ensuite le renommer, le déplacer et le gérer comme tout autre fichier.

Puisque le fichier JSON exporté est indépendant de l’espace de travail, il peut être importé dans d’autres espaces de travail, voire d’autres locataires. En tant que code, il peut également être contrôlé par version, mis à jour et déployé dans une infrastructure CI/CD managée.

Le fichier inclut tous les paramètres définis dans la règle d’automatisation. Les règles de n’importe quel type de déclencheur peuvent être exportées vers un fichier JSON.

Cet article vous montre comment exporter et importer des règles d’automatisation.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Exporter des règles

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Automatisation.

  2. Sélectionnez la règle (ou les règles, voir note) que vous souhaitez exporter, puis sélectionnez Exporter dans la barre en haut de l’écran.

    Capture d’écran montrant comment exporter une règle d’automatisation.

    Recherchez le fichier exporté dans votre dossier Téléchargements. Il a le même nom que la règle d’automatisation, avec une extension .json.

    Remarque

    • Vous pouvez sélectionner plusieurs règles d’automatisation à la fois pour l’exportation en cochant les cases en regard des règles et en sélectionnant Exporter à la fin.

    • Vous pouvez exporter toutes les règles sur une seule page de la grille d’affichage en une fois en cochant la case dans la ligne d’en-tête avant de cliquer sur Exporter. Toutefois, vous ne pouvez pas exporter plus d’une page complète de règles à la fois.

    • Dans ce scénario, un seul fichier (nommé Azure_Sentinel_automation_rules.json) est créé et contient du code JSON pour toutes les règles exportées.

Importer des règles

  1. Préparez un fichier JSON de modèle ARM de règle d’automatisation.

  2. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Automatisation.

  3. Sélectionnez Importer dans la barre en haut de l’écran. Dans la boîte de dialogue qui s’affiche, accédez au fichier JSON représentant la règle que vous souhaitez importer et sélectionnez-le, puis cliquez sur Ouvrir.

    Capture d’écran montrant comment importer une règle d’automatisation.

    Remarque

    Vous pouvez importer jusqu’à 50 règles d’automatisation à partir d’un seul fichier de modèle ARM.

Dépannage

Si vous rencontrez des problèmes lors de l’importation d’une règle d’automatisation exportée, consultez le tableau suivant.

Comportement (avec erreur) Motif Action suggérée
La règle d’automatisation importée est désactivée
-and-
La condition règle d’analyse de la règle affiche « Règle inconnue »
La règle contient une condition qui fait référence à une règle d’analyse qui n’existe pas dans l’espace de travail cible.
  1. Exportez la règle d’analyse référencée à partir de l’espace de travail d’origine et importez-la dans la cible.
  2. Modifiez la règle d’automatisation dans l’espace de travail cible, en choisissant la règle d’analyse actuelle dans la liste déroulante.
  3. Activez la règle d’automatisation.
La règle d’automatisation importée est désactivée
-and-
la condition clé de détails personnalisée de la règle affiche « Clé de détails personnalisée inconnue »
La règle contient une condition qui fait référence à une clé de détails personnalisée qui n’est définie dans aucune règle d’analyse de l’espace de travail cible.
  1. Exportez la règle d’analyse référencée à partir de l’espace de travail d’origine et importez-la dans la cible.
  2. Modifiez la règle d’automatisation dans l’espace de travail cible, en choisissant la règle d’analyse actuelle dans la liste déroulante.
  3. Activez la règle d’automatisation.
Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Les règles d’automatisation n’ont pas pu être déployées. »
Les détails du déploiement contiennent les raisons répertoriées dans la colonne suivante en cas d’échec.
Le playbook a été déplacé.
-ou-
Le playbook a été supprimé.
-ou-
L’espace de travail cible n’a pas accès au playbook.
Vérifiez que le playbook existe et que l’espace de travail cible dispose du droit d’accès au groupe de ressources qui contient le playbook.
Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur : « Les règles d’automatisation n’ont pas pu être déployées. »
Les détails du déploiement contiennent les raisons répertoriées dans la colonne suivante en cas d’échec.
La règle d’automatisation a dépassé sa date d’expiration définie lorsque vous l’avez importée. Si vous souhaitez que la règle reste expirée dans son espace de travail d’origine :
  1. Modifiez le fichier JSON qui représente la règle d’automatisation exportée.
  2. Recherchez la date d’expiration (qui apparaît immédiatement après la chaîne "expirationTimeUtc":) et remplacez-la par une nouvelle date d’expiration (à l’avenir).
  3. Enregistrez le fichier et réimportez-le dans l’espace de travail cible.
Si vous souhaitez que la règle revienne à l’état actif dans son espace de travail d’origine :
  1. Modifiez la règle d’automatisation dans l’espace de travail d’origine et remplacez sa date d’expiration par une date ultérieure.
  2. Exportez à nouveau la règle à partir de l’espace de travail d’origine.
  3. Importez la version nouvellement exportée dans l’espace de travail cible.
Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur :
« Le fichier JSON que vous avez tenté d’importer a un format non valide. Veuillez vérifier le fichier et réessayer. »
Le fichier importé n’est pas un fichier JSON valide. Vérifiez si le fichier contient des problèmes et réessayez. Pour obtenir de meilleurs résultats, exportez à nouveau la règle d’origine vers un nouveau fichier, puis réessayez d’importer.
Le déploiement a échoué dans l’espace de travail cible, avec un message d’erreur :
« Aucune ressource trouvée dans le fichier. Vérifiez que le fichier contient des ressources de déploiement et réessayez. »
La liste des ressources sous la clé « resources » dans le fichier JSON est vide. Vérifiez si le fichier contient des problèmes et réessayez. Pour obtenir de meilleurs résultats, exportez à nouveau la règle d’origine vers un nouveau fichier, puis réessayez d’importer.

Étapes suivantes

Dans ce document, vous avez appris à exporter et importer des règles d’automatisation vers et à partir de modèles ARM.