Exportieren und Importieren von Analyseregeln in und aus ARM-Vorlagen

Wichtig

  • Die Funktion zum Exportieren und Importieren von Regeln befindet sich in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Einführung

Sie können jetzt Ihre Analyseregeln in Azure Resource Manager (ARM)-Vorlagendateien exportieren und Regeln aus diesen Dateien importieren, um Ihre Microsoft Sentinel-Bereitstellungen als Code zu verwalten und zu steuern. Die Exportaktion erstellt eine JSON-Datei (mit dem Namen Azure_Sentinel_analytic_rule.json) am Downloadspeicherort Ihres Browsers, die Sie dann umbenennen, verschieben und auch sonst wie jede andere Datei behandeln können.

Die exportierte JSON-Datei ist arbeitsbereichsunabhängig, sodass sie in andere Arbeitsbereiche und sogar andere Mandanten importiert werden kann. Als Code kann sie außerdem versionskontrolliert, aktualisiert und in einem verwalteten CI/CD-Framework bereitgestellt werden.

Die Datei enthält alle in der Analyseregel definierten Parameter. Daher enthält sie für geplante Regeln die zugrunde liegende Abfrage und die zugehörigen Zeitplanungseinstellungen, den Schweregrad, die Incidenterstellung, Ereignis- und Warnungsgruppierungseinstellungen, zugewiesene MITRE ATT&CK-Taktiken und vieles mehr. Alle Arten von Analyseregel – nicht nur geplante Regeln – können in eine JSON-Datei exportiert werden.

Exportieren von Regeln

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  2. Wählen Sie die Regel aus, die Sie exportieren möchten, und klicken Sie auf der Leiste am oberen Bildschirmrand auf Exportieren.

    Exportieren einer Analyseregel

    Hinweis

    • Sie können mehrere Analyseregeln gleichzeitig für den Export auswählen, indem Sie die Kontrollkästchen neben den Regeln markieren und am Ende auf Exportieren klicken.

    • Sie können alle Regeln auf einer einzelnen Seite des Anzeigerasters gleichzeitig exportieren, indem Sie das Kontrollkästchen in der Kopfzeile (neben SCHWEREGRAD) markieren, bevor Sie auf Exportieren klicken. Das gleichzeitige Exportieren von Regeln auf verschiedenen Seiten ist jedoch nicht möglich.

    • Beachten Sie, dass in diesem Szenario eine einzelne Datei (mit dem Namen Azure_Sentinel_analytic_rules.json) erstellt wird, die JSON-Code für alle exportierten Regeln enthält.

Importieren von Regeln

  1. Bereiten Sie eine ARM-Vorlagen-JSON-Datei für die Analyseregel vor.

  2. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Optionen Analytik.

  3. Klicken Sie auf der Leiste am oberen Bildschirmrand auf Importieren. Navigieren Sie im daraufhin angezeigten Dialogfeld zu der JSON-Datei mit der Regel, die Sie importieren möchten, und wählen Sie Öffnen aus.

    Importieren einer Analyseregel

    Hinweis

    Sie können bis zu 50 Analyseregeln aus einer einzelnen ARM-Vorlagendatei importieren.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Analyseregeln in und aus ARM-Vorlagen exportieren und importieren.