Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Wykrywanie niestandardowe jest teraz najlepszym sposobem tworzenia nowych reguł w Microsoft Defender XDR SIEM usługi Microsoft Sentinel. Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Aby uzyskać więcej informacji, przeczytaj ten blog.
Ważne
Eksportowanie i importowanie reguł jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wprowadzenie
Teraz możesz wyeksportować reguły analizy do plików szablonów usługi Azure Resource Manager (ARM) i zaimportować reguły z tych plików w ramach zarządzania wdrożeniami usługi Microsoft Sentinel i kontrolowania ich jako kodu. Akcja eksportu spowoduje utworzenie pliku JSON (o nazwie Azure_Sentinel_analytic_rule.json) w lokalizacji pobierania przeglądarki, którą można następnie zmienić nazwę, przenieść i w inny sposób obsłużyć jak każdy inny plik.
Wyeksportowany plik JSON jest niezależny od obszaru roboczego, więc można go zaimportować do innych obszarów roboczych, a nawet innych dzierżaw. Jako kod można go również kontrolować, aktualizować i wdrażać w zarządzanej strukturze ciągłej integracji/ciągłego wdrażania.
Plik zawiera wszystkie parametry zdefiniowane w regule analizy, dlatego w przypadku reguł zaplanowanych zawiera zapytanie bazowe i towarzyszące mu ustawienia planowania, ważność, tworzenie zdarzeń, ustawienia grupowania zdarzeń i alertów, przypisane taktyki MITRE ATT&CK i nie tylko. Dowolny typ reguły analizy — nie tylko Zaplanowane — można wyeksportować do pliku JSON.
Eksportowanie reguł
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Wybierz regułę, którą chcesz wyeksportować, a następnie kliknij pozycję Eksportuj na pasku w górnej części ekranu.
Uwaga
Aby wyeksportować wiele reguł analizy, możesz zaznaczyć pola wyboru obok reguł i kliknąć pozycję Eksportuj na końcu.
Wszystkie reguły można wyeksportować na jednej stronie siatki wyświetlania jednocześnie, zaznaczając pole wyboru w wierszu nagłówka (obok pozycji WAŻNOŚĆ) przed kliknięciem pozycji Eksportuj. Jednocześnie nie można eksportować więcej niż jednej strony reguł.
Należy pamiętać, że w tym scenariuszu zostanie utworzony pojedynczy plik (o nazwie Azure_Sentinel_analytic_rules.json) i będzie zawierać kod JSON dla wszystkich wyeksportowanych reguł.
Importowanie reguł
Przygotuj plik JSON szablonu reguły analizy usługi ARM.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Analiza.
Kliknij pozycję Importuj na pasku w górnej części ekranu. W wyświetlonym oknie dialogowym przejdź do pliku JSON reprezentującego regułę, którą chcesz zaimportować, i wybierz pozycję Otwórz.
Uwaga
Można zaimportować maksymalnie 50 reguł analizy z jednego pliku szablonu usługi ARM.
Następne kroki
W tym dokumencie przedstawiono sposób eksportowania i importowania reguł analizy do i z szablonów usługi ARM.
- Dowiedz się więcej o regułach analizy, w tym niestandardowych reguł zaplanowanych.
- Dowiedz się więcej o szablonach usługi ARM.