Exportar e importar regras de análise de/para modelos do ARM
Importante
- A exportação e importação de regras está na VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Introdução
Agora você pode exportar suas regras de análise para arquivos de modelo do ARM (Azure Resource Manager) e importar regras desses arquivos como parte do gerenciamento e do controle de suas implantações do Microsoft Sentinel como código. A ação de exportação cria um arquivo JSON (chamado Azure_Sentinel_analytic_rule.json) no local de downloads do navegador, que você pode renomear, mover e manipular como qualquer outro arquivo.
O arquivo JSON exportado pode ser importado para outros espaços de trabalho, pois é independente deles, e até mesmo para outros locatários. Como código, ele também pode passar por controle do código-fonte, atualização e implantação em uma estrutura de CI/CD gerenciada.
O arquivo inclui todos os parâmetros definidos na regra de análise, portanto, para regras agendadas, ele inclui a consulta subjacente e as configurações de agendamento que a acompanham, além da gravidade, da criação de incidentes, das configurações de grupo de eventos e alertas, das táticas atribuídas do MITRE ATT&CK, entre outros. Qualquer tipo de regra de análise, não apenas a agendada, pode ser exportada para um arquivo JSON.
Exportar regras
No menu de navegação do Microsoft Azure Sentinel, selecione Análise.
Selecione a regra que você deseja exportar e clique em Exportar na barra na parte superior da tela.
Observação
Você pode selecionar várias regras de análise ao mesmo tempo para a exportação marcando as caixas de seleção ao lado dessas regras e clicando em Exportar no final.
Você pode exportar todas as regras em uma única página da grade de exibição ao mesmo tempo marcando a caixa de seleção na linha do cabeçalho (ao lado de SEVERIDADE) antes de clicar em Exportar. No entanto, não é possível exportar mais de uma página de regras por vez.
Esteja ciente de que, nesse cenário, um único arquivo (chamado Azure_Sentinel_analytic_rules.json) será criado e conterá o código JSON para todas as regras exportadas.
Importar regras
Tenha um arquivo JSON de modelo do ARM de regra de análise pronto.
No menu de navegação do Microsoft Azure Sentinel, selecione Análise.
Clique em Importar na barra na parte superior da tela. Na caixa de diálogo resultante, acesse o arquivo JSON que representa a regra que você deseja importar, selecione-o e, seguida, escolha Abrir.
Observação
Você pode importar até 50 regras de análise de um único arquivo de modelo do ARM.
Próximas etapas
Neste documento, você aprendeu a exportar e importar regras de análise de/para modelos do ARM.
- Saiba mais sobre regras de análise, incluindo regras agendadas personalizadas.
- Saiba mais sobre modelos do ARM.