重要
カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
重要
ルールのエクスポートとインポートは プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
概要
Microsoft Sentinelデプロイをコードとして管理および制御する一環として、分析ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートできるようになりました。 エクスポート アクションでは、ブラウザーのダウンロード場所に JSON ファイル ( Azure_Sentinel_analytic_rule.json という名前) が作成されます。これにより、他のファイルと同様に名前の変更、移動、その他の処理を行うことができます。
エクスポートされた JSON ファイルはワークスペースに依存しないため、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。
ファイルには分析ルールで定義されているすべてのパラメーターが含まれているため、 スケジュールされた ルールには、基になるクエリとそれに付随するスケジュール設定、重大度、インシデントの作成、イベントとアラートのグループ化設定、割り当てられた MITRE ATT&CK 戦術などが含まれます。 スケジュールされただけでなく、あらゆる種類の分析ルールを JSON ファイルにエクスポートできます。
ルールのエクスポート
Microsoft Sentinel ナビゲーション メニューで、[分析] を選択します。
エクスポートするルールを選択し、画面上部のバーから [エクスポート ] をクリックします。
注:
複数の分析ルールを一度に選択してエクスポートするには、ルールの横にある [チェック] ボックスをマークし、最後に [エクスポート] をクリックします。
[エクスポート] をクリックする前にヘッダー行の [チェック] ボックス ([重大度] の横) をマークすることで、表示グリッドの 1 つのページですべてのルールを一度にエクスポートできます。 ただし、一度に複数のページのルールをエクスポートすることはできません。
このシナリオでは、1 つのファイル ( Azure_Sentinel_analytic_rules.json という名前) が作成され、エクスポートされたすべてのルールの JSON コードが含まれていることに注意してください。
インポート ルール
分析ルール ARM テンプレート JSON ファイルを準備します。
Microsoft Sentinel ナビゲーション メニューで、[分析] を選択します。
画面の上部にあるバーから [ インポート ] をクリックします。 結果のダイアログ ボックスに移動し、インポートするルールを表す JSON ファイルを選択し、[ 開く] を選択します。
注:
1 つの ARM テンプレート ファイルから 最大 50 個の分析ルールをインポートできます。
次の手順
このドキュメントでは、ARM テンプレートとの間で分析ルールをエクスポートおよびインポートする方法について説明しました。
- カスタムスケジュールされたルールなど、分析ルールの詳細を確認してください。
- ARM テンプレートの詳細については、こちらをご覧ください。