Esportare e importare regole di analisi da e verso modelli di Azure Resource Manager

Importante

Introduzione

È ora possibile esportare le regole di analisi nei file modello di Azure Resource Manager (ARM) e importare regole da questi file, come parte della gestione e del controllo delle distribuzioni di Microsoft Sentinel come codice. L'azione di esportazione creerà un file JSON (denominato Azure_Sentinel_analytic_rule.json) nel percorso di download del browser, che sarà quindi possibile rinominare, spostare e gestire in altro modo come qualsiasi altro file.

Il file JSON esportato è indipendente dall'area di lavoro, pertanto può essere importato in altre aree di lavoro e anche in altri tenant. Come codice, può anche essere controllato dalla versione, aggiornato e distribuito in un framework CI/CD gestito.

Il file include tutti i parametri definiti nella regola di analisi, quindi per le regole pianificate include la query sottostante e le relative impostazioni di pianificazione, la gravità, la creazione degli eventi imprevisti, le impostazioni di raggruppamento di eventi e avvisi, le tattiche MITRE ATT&CK assegnate e altro ancora. Qualsiasi tipo di regola di analisi, non solo pianificata , può essere esportata in un file JSON.

Esportare regole

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  2. Selezionare la regola da esportare e fare clic su Esporta dalla barra nella parte superiore della schermata.

    Esportare la regola di analisi

    Nota

    • È possibile selezionare più regole di analisi contemporaneamente per l'esportazione contrassegnando le caselle di controllo accanto alle regole e facendo clic su Esporta alla fine.

    • È possibile esportare tutte le regole in una singola pagina della griglia di visualizzazione contemporaneamente, contrassegnando la casella di controllo nella riga di intestazione (accanto a GRAVITÀ) prima di fare clic su Esporta. Tuttavia, non è possibile esportare più di una pagina di regole alla volta.

    • Tenere presente che in questo scenario verrà creato un singolo file (denominato Azure_Sentinel_analytic_rules.json) e conterrà codice JSON per tutte le regole esportate.

Importare regole

  1. È possibile preparare un file JSON del modello arm delle regole di analisi.

  2. Dal menu di spostamento di Microsoft Sentinel selezionare Analisi.

  3. Fare clic su Importa dalla barra nella parte superiore della schermata. Nella finestra di dialogo risultante, selezionare il file JSON che rappresenta la regola da importare e selezionare Apri.

    Importare la regola di analisi

    Nota

    È possibile importare fino a 50 regole di analisi da un singolo file di modello di Resource Manager.

Passaggi successivi

In questo documento si è appreso come esportare e importare regole di analisi da e verso modelli di Resource Manager.