Aracılığıyla paylaş

Otomasyon kurallarını ARM şablonlarına içeri aktarma ve ARM şablonlarından dışarı aktarma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel otomasyon kurallarınızı kod olarak yönetin! Artık Microsoft Sentinel dağıtımlarınızı kod olarak yönetmek ve denetlemek için programınızın bir parçası olarak otomasyon kurallarınızı Azure Resource Manager (ARM) şablon dosyalarına aktarabilir ve bu dosyalardan kuralları içeri aktarabilirsiniz. Dışarı aktarma eylemi, tarayıcınızın indirme konumunda bir JSON dosyası oluşturur ve bu dosyayı diğer dosyalar gibi yeniden adlandırabilir, taşıyabilir ve başka şekilde işleyebilirsiniz.

Dışarı aktarılan JSON dosyası çalışma alanından bağımsızdır, bu nedenle diğer çalışma alanlarına ve hatta diğer kiracılara aktarılabilir. Kod olarak, yönetilen bir CI/CD çerçevesinde sürüm denetimi, güncelleştirme ve dağıtım da yapılabilir.

Dosya, otomasyon kuralında tanımlanan tüm parametreleri içerir. Herhangi bir tetikleyici türünün kuralları bir JSON dosyasına aktarılabilir.

Bu makalede otomasyon kurallarını dışarı ve içeri aktarma işlemi gösterilmektedir.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Kuralları dışarı aktarma

  1. Microsoft Sentinel gezinti menüsünde Otomasyon'u seçin.

  2. Dışarı aktarmak istediğiniz kuralı (veya kuralları— nota bakın) seçin ve ekranın üst kısmındaki çubuktan Dışarı Aktar'ı seçin.

    Otomasyon kuralını dışarı aktarmayı gösteren ekran görüntüsü.

    Dışarı aktarılan dosyayı İndirmeler klasörünüzde bulun. .json uzantısıyla otomasyon kuralıyla aynı ada sahiptir.

    Not

    • Dışarı aktarma için, kuralların yanındaki onay kutularını işaretleyip sonunda Dışarı Aktar'ı seçerek aynı anda birden çok otomasyon kuralı seçebilirsiniz.

    • Dışarı Aktar'a tıklamadan önce üst bilgi satırındaki onay kutusunu işaretleyerek, görüntüleme kılavuzunun tek bir sayfasındaki tüm kuralları bir kerede dışarı aktarabilirsiniz. Ancak, aynı anda birden fazla sayfaya ait kuralları dışarı aktaramazsınız.

    • Bu senaryoda, tek bir dosya (Azure_Sentinel_automation_rules.json adlı) oluşturulur ve dışarı aktarılan tüm kurallar için JSON kodu içerir.

kuralları içeri aktarma

  1. Otomasyon kuralı ARM şablonu JSON dosyasını hazır bulundurun.

  2. Microsoft Sentinel gezinti menüsünde Otomasyon'u seçin.

  3. Ekranın üst kısmındaki çubuktan İçeri Aktar'ı seçin. Sonuçta elde edilen iletişim kutusunda, içeri aktarmak istediğiniz kuralı temsil eden JSON dosyasına gidip seçin ve Aç'ı seçin.

    Otomasyon kuralının nasıl içeri aktarılacağını gösteren ekran görüntüsü.

    Not

    Tek bir ARM şablon dosyasından en fazla 50 otomasyon kuralı içeri aktarabilirsiniz.

Sorun giderme

Dışarı aktarılan otomasyon kuralını içeri aktarırken sorun yaşıyorsanız aşağıdaki tabloya bakın.

Davranış (hatayla) Nedeni Önerilen eylem
İçeri aktarılan otomasyon kuralı devre dışı bırakıldı
-and-
Kuralın analiz kuralı koşulunda "Bilinmeyen kural" görüntülenmektedir		 Kural, hedef çalışma alanında mevcut olmayan bir analiz kuralına başvuran bir koşul içerir.
  1. Başvuruda bulunan analiz kuralını özgün çalışma alanından dışarı aktarın ve hedef çalışma alanına aktarın.
  2. Hedef çalışma alanında otomasyon kuralını düzenleyin ve açılan listeden şimdi mevcut olan analiz kuralını seçin.
  3. Otomasyon kuralını etkinleştirin.
İçeri aktarılan otomasyon kuralı devre dışı bırakıldı
-and-
Kuralın özel ayrıntılar anahtar koşulu "Bilinmeyen özel ayrıntılar anahtarı" değerini görüntüler		 Kural, hedef çalışma alanında herhangi bir analiz kuralında tanımlanmayan özel ayrıntı anahtarına başvuran bir koşul içerir.
  1. Başvuruda bulunan analiz kuralını özgün çalışma alanından dışarı aktarın ve hedef çalışma alanına aktarın.
  2. Hedef çalışma alanında otomasyon kuralını düzenleyin ve açılan listeden şimdi mevcut olan analiz kuralını seçin.
  3. Otomasyon kuralını etkinleştirin.
Dağıtım hedef çalışma alanında başarısız oldu ve şu hata iletisiyle başarısız oldu: "Otomasyon kuralları dağıtılamadı."
Dağıtım ayrıntıları, bir sonraki sütunda hatanın nedenlerini içerir.		 Playbook taşındı.
-veya-
Playbook silindi.
-veya-
Hedef çalışma alanının playbook'a erişimi yok.		 Playbook'un mevcut olduğundan ve hedef çalışma alanının playbook'u içeren kaynak grubuna doğru erişime sahip olduğundan emin olun.
Dağıtım hedef çalışma alanında başarısız oldu ve şu hata iletisiyle başarısız oldu: "Otomasyon kuralları dağıtılamadı."
Dağıtım ayrıntıları, hatanın sonraki sütununda listelenen nedenleri içerir.		 Otomasyon kuralı, içeri aktardığınızda tanımlı son kullanma tarihini geçmişti. Kuralın süresinin özgün çalışma alanında dolmasını istiyorsanız:
  1. Dışarı aktarılan otomasyon kuralını temsil eden JSON dosyasını düzenleyin.
  2. Son kullanma tarihini bulun (dizeden "expirationTimeUtc":hemen sonra görünür) ve yeni bir son kullanma tarihi (gelecekte) ile değiştirin.
  3. Dosyayı kaydedin ve hedef çalışma alanına yeniden aktarın.
Kuralın özgün çalışma alanında etkin duruma dönmesini istiyorsanız:
  1. Otomasyon kuralını özgün çalışma alanında düzenleyin ve son kullanma tarihini gelecekteki bir tarihle değiştirin.
  2. Kuralı özgün çalışma alanından yeniden dışarı aktarın.
  3. Yeni dışarı aktarılan sürümü hedef çalışma alanına aktarın.
Dağıtım hedef çalışma alanında başarısız oldu, hata iletisi:
"İçeri aktarmaya çalıştığınız JSON dosyasının biçimi geçersiz. Lütfen dosyayı denetleyin ve yeniden deneyin."		 İçeri aktarılan dosya geçerli bir JSON dosyası değil. Dosyada sorun olup olmadığını denetleyin ve yeniden deneyin. En iyi sonuçları elde etmek için özgün kuralı yeniden yeni bir dosyaya aktarın ve içeri aktarmayı yeniden deneyin.
Dağıtım hedef çalışma alanında başarısız oldu, hata iletisi:
"Dosyada kaynak bulunamadı. Lütfen dosyanın dağıtım kaynakları içerdiğinden emin olun ve yeniden deneyin."		 JSON dosyasındaki "resources" anahtarının altındaki kaynakların listesi boş. Dosyada sorun olup olmadığını denetleyin ve yeniden deneyin. En iyi sonuçları elde etmek için özgün kuralı yeniden yeni bir dosyaya aktarın ve içeri aktarmayı yeniden deneyin.

Sonraki adımlar

Bu belgede, ARM şablonlarına ve arm şablonlarından otomasyon kurallarını dışarı ve içeri aktarmayı öğrendiniz.

  • Otomasyon kuralları ve bunları oluşturma ve bunlarla çalışma hakkında daha fazla bilgi edinin.
  • ARM şablonları hakkında daha fazla bilgi edinin.