重要
自定義偵測現在是跨 Microsoft Sentinel SIEM Microsoft Defender 全面偵測回應建立新規則的最佳方式。 透過自訂偵測,您可以降低擷取成本、取得無限制的即時偵測,並受益於與 Defender 全面偵測回應 資料、函式和補救動作的無縫整合,並具有自動實體對應。 欲了解更多信息,請閱讀 此博客。
重要
匯出和匯入規則處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
簡介
您現在可以將分析規則導出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為管理和控制Microsoft Sentinel 部署程式代碼的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案(名為 Azure_Sentinel_analytic_rule.json),然後您可以重新命名、移動,以及其他任何檔案一樣處理。
匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。
檔案包含分析規則中定義的所有參數,因此對於 已排程 規則,它包含基礎查詢及其隨附的排程設定、嚴重性、事件建立、事件和警示群組設定、指派的 MITRE ATT&CK 策略等等。 任何類型的分析規則 -- 不只是 已排程 - 可以匯出至 JSON 檔案。
匯出規則
從 Microsoft Sentinel 導覽功能表,選取 [分析]。
選取您想要導出的規則,然後按下畫面頂端列的 [ 匯出 ]。
注意
您可以一次選取多個分析規則進行導出,方法是標記規則旁邊的複選框,然後按兩下 結尾的 [導出 ]。
按兩下 [匯出] 之前,您可以一次在顯示方格的單一頁面上匯出所有規則,方法是在標頭數據列 (SEVERITY 旁) 標記複選框。 不過,您無法一次匯出一整頁以上的規則。
請注意,在此案例中,將會建立單一檔案(名為 Azure_Sentinel_analytic_rules.json),並包含所有導出規則的 JSON 程式代碼。
匯入規則
準備好分析規則 ARM 範本 JSON 檔案。
從 Microsoft Sentinel 導覽功能表,選取 [分析]。
從畫面頂端的列按兩下 [ 匯 入]。 在產生的對話方塊中,瀏覽至並選取代表您要匯入的規則的 JSON 檔案,然後選取 [開啟]。
注意
您可以從單一 ARM 樣本檔案匯入 最多 50 個分析規則。
下一步
在本檔中,您已瞭解如何從 ARM 範本匯出和匯入分析規則。