匯出和匯入 ARM 範本的自動化規則
以程式碼的形式管理您的 Microsoft Sentinel 自動化規則! 您現在可將自動化規則匯出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為以程式碼的形式管理及控制 Microsoft Sentinel 部署的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案,然後您可以重新命名、移動,以及像任何其他檔案一樣處理。
匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。
檔案包含自動化規則中定義的所有參數。 任何觸發程序類型的規則都可以匯出至 JSON 檔案。
本文說明如何匯出和匯入自動化規則。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
匯出規則
從 Microsoft Sentinel 導覽功能表,選取 [自動化]。
選取您想要匯出的規則,然後選取畫面頂端列的 [匯出]。
在 [下載] 資料夾中尋找匯出的檔案。 其名稱與自動化規則相同,具有 .json 副檔名。
注意
您可以一次選取多個自動化規則以進行匯出,方法是標記規則旁的核取方塊,然後選取尾端的 [匯出]。
您可以在顯示方格的單一頁面上一次匯出所有規則,方法是在按一下 [匯出] 之前標記標題列中的核取方塊。 不過,您無法一次匯出一整頁以上的規則。
在此案例中,會建立單一檔案 (名為 Azure_Sentinel_automation_rules.json),並包含所有匯出規則的 JSON 程式碼。
匯入規則
準備好自動化規則 ARM 範本 JSON 檔案。
從 Microsoft Sentinel 導覽功能表,選取 [自動化]。
選取畫面頂端列的 [匯入]。 在產生的對話方塊中,瀏覽至並選取代表您要匯入的規則的 JSON 檔案,然後選取 [開啟]。
注意
您可以從單一 ARM 範本檔案匯入最多 50 個自動化規則。
疑難排解
如果您在匯入匯出的自動化規則時發生任何問題,請參閱下表。
行為 (具有錯誤) | 原因 | 建議的動作 |
---|---|---|
匯入自動化規則已停用 -and- 規則的分析規則條件會顯示「未知規則」 |
此規則包含條件,該條件是指目標工作區中不存在的分析規則。 |
|
匯入自動化規則已停用 -and- 規則的自訂詳細資料索引鍵條件會顯示「未知的自訂詳細資料索引鍵」 |
此規則包含條件,該條件是指未在目標工作區中任何分析規則定義的自訂詳細資料索引鍵。 |
|
目標工作區中的部署失敗,並出現錯誤訊息:「自動化規則無法部署。」 部署詳細資料包含下一個資料行中所列失敗的原因。 |
該劇本已移動。 -or- 該劇本已刪除。 -or- 目標工作區無法存取劇本。 |
請確定劇本存在,且目標工作區具有包含劇本之資源群組的正確存取權。 |
目標工作區中的部署失敗,並出現錯誤訊息:「自動化規則無法部署。」 部署詳細資料包含下一個資料行中所列失敗的原因。 |
當您匯入自動化規則時,自動化規則已超過其定義的到期日。 | 如果您想要讓規則在其原始工作區中保持過期:
|
目標工作區中的部署失敗,並出現錯誤訊息: 「您嘗試匯入的 JSON 檔案格式無效。請檢查檔案,然後再試一次。」 |
匯入的檔案不是有效的 JSON 檔案。 | 請檢查檔案是否有任何問題,然後再試一次。 為了獲得最佳結果,請再次將原始規則匯出至新檔案,然後再試一次匯入。 |
目標工作區中的部署失敗,並出現錯誤訊息: 「檔案中找不到任何資源。請確定檔案包含部署資源,然後再試一次。」 |
JSON 檔案中「資源」索引鍵底下的資源清單是空的。 | 請檢查檔案是否有任何問題,然後再試一次。 為了獲得最佳結果,請再次將原始規則匯出至新檔案,然後再試一次匯入。 |
下一步
在本文件中,您已了解如何從 ARM 範本匯出和匯入自動化規則。