重要
カスタム検出は、Microsoft Sentinel SIEM Microsoft Defender XDR全体で新しいルールを作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
重要
ルールのエクスポートとインポートはプレビュー中です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
はじめに
Microsoft Sentinel デプロイをコードとして管理および制御する一環として、分析ルールを Azure Resource Manager (ARM) テンプレート ファイルからエクスポートし、それらのルールを同様のファイルにインポートできます。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイル (Azure_Sentinel_analytic_rule.json という名前) が作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。
エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。
ファイルには、分析ルールで定義されているすべてのパラメーターが含まれます。そのため、Scheduled ルールの場合は、基本的なクエリに加え、それに付随するスケジュール設定、重大度、インシデントの作成、イベントとアラートのグループ化設定、割り当てられた MITRE ATT&CK 戦術なども含まれます。 Scheduled だけでなく、すべての種類の分析ルールを JSON ファイルにエクスポートできます。
ルールのエクスポート
Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。
エクスポートするルールを選択し、画面の上部にあるバーから [エクスポート] をクリックします。
Note
エクスポートに対して一度に複数の分析ルールを選択するには、ルールの横にあるチェック ボックスをオンにし、最後に [エクスポート] をクリックします。
[エクスポート] をクリックする前に、ヘッダー行 ( [重大度] の横) のチェック ボックスをオンにすることで、表示グリッド 1 ページにあるすべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。
このシナリオでは、1 つのファイル (Azure_Sentinel_analytic_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードがそのファイルに書き込まれます。
ルールのインポート
分析ルールの ARM テンプレート JSON ファイルを準備します。
Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。
画面上部にあるバーから [インポート] をクリックします。 表示されるダイアログ ボックスで、インポートするルールが含まれる JSON ファイルに移動して選択し、 [開く] を選択します。
Note
1 つの ARM テンプレート ファイルから最大 50 個の分析ルールをインポートできます。
次のステップ
このドキュメントでは、ARM テンプレート間で分析ルールをエクスポートおよびインポートする方法について学習しました。
- カスタム スケジュール済みルールを含む、分析ルールの詳細を確認します。
- ARM テンプレートの詳細を確認します。