ARM 템플릿으로 자동화 규칙 내보내기 및 가져오기

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel 자동화 규칙을 코드로 관리하세요! 이제 자동화 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고, 프로그램의 일부로 이러한 파일에서 규칙을 가져와 Microsoft Sentinel 배포를 코드로 관리하고 제어할 수 있습니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 다른 파일과 마찬가지로 이름을 바꾸고, 이동하고, 처리할 수 있습니다.

내보낸 JSON 파일은 작업 영역과 독립적이므로 다른 작업 영역 및 다른 테넌트로 가져올 수 있습니다. 코드로 관리되는 CI/CD 프레임워크에서 버전 제어, 업데이트 및 배포할 수도 있습니다.

파일에는 자동화 규칙에 정의된 모든 매개 변수가 포함됩니다. 모든 트리거 유형의 규칙을 JSON 파일로 내보낼 수 있습니다.

이 문서에서는 자동화 규칙을 내보내고 가져오는 방법을 보여줍니다.

중요

2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.

Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.

내보내기 규칙

  1. Microsoft Sentinel 탐색 메뉴에서 Automation을 선택합니다.

  2. 내보낼 규칙(또는 규칙-참고 참조)을 선택하고 화면 맨 위에 있는 막대에서 내보내 기를 선택합니다.

    자동화 규칙을 내보내는 방법을 보여 주는 스크린샷

    다운로드 폴더에서 내보낸 파일을 찾습니다. .json 확장이 있는 자동화 규칙과 이름이 같습니다.

    참고

    • 규칙 옆에 있는 검사 상자를 표시하고 마지막에 내보내기를 선택하여 한 번에 여러 자동화 규칙을 선택하여 내보낼 수 있습니다.

    • 내보내기를 클릭하기 전에 머리글 행의 검사 상자를 표시하여 디스플레이 그리드의 단일 페이지에 있는 모든 규칙을 한 번에 내보낼 수 있습니다. 하지만 한 번에 두 페이지 이상의 규칙을 내보낼 수는 없습니다.

    • 이 시나리오에서는 단일 파일( Azure_Sentinel_automation_rules.json)이 만들어지고 내보낸 모든 규칙에 대한 JSON 코드가 포함됩니다.

가져오기 규칙

  1. 자동화 규칙 ARM 템플릿 JSON 파일을 준비합니다.

  2. Microsoft Sentinel 탐색 메뉴에서 Automation을 선택합니다.

  3. 화면 맨 위에 있는 막대에서 가져오기 를 선택합니다. 결과 대화 상자에서 가져오려는 규칙을 나타내는 JSON 파일로 이동하여 선택하고 열기를 선택합니다.

    자동화 규칙을 가져오는 방법을 보여 주는 스크린샷

    참고

    단일 ARM 템플릿 파일에서 최대 50 개 자동화 규칙을 가져올 수 있습니다.

문제 해결

내보낸 자동화 규칙을 가져오는 데 문제가 있는 경우 다음 표를 참조하세요.

동작( 오류 포함) 이유 권장 작업
가져온 자동화 규칙을 사용할 수 없습니다.
- -
규칙의 분석 규칙 조건에 "알 수 없는 규칙"이 표시됩니다.		 규칙에는 대상 작업 영역에 없는 분석 규칙을 참조하는 조건이 포함되어 있습니다.
  1. 원래 작업 영역에서 참조된 분석 규칙을 내보내고 대상 작업 영역으로 가져옵니다.
  2. 대상 작업 영역에서 자동화 규칙을 편집하고 드롭다운에서 현재 제공되는 분석 규칙을 선택합니다.
  3. 자동화 규칙을 사용하도록 설정합니다.
가져온 자동화 규칙을 사용할 수 없습니다.
- -
규칙의 사용자 지정 세부 정보 키 조건에 "알 수 없는 사용자 지정 세부 정보 키"가 표시됩니다.		 규칙에는 대상 작업 영역의 분석 규칙에 정의되지 않은 사용자 지정 세부 정보 키를 참조하는 조건이 포함되어 있습니다.
  1. 원래 작업 영역에서 참조된 분석 규칙을 내보내고 대상 작업 영역으로 가져옵니다.
  2. 대상 작업 영역에서 자동화 규칙을 편집하고 드롭다운에서 현재 제공되는 분석 규칙을 선택합니다.
  3. 자동화 규칙을 사용하도록 설정합니다.
대상 작업 영역에서 "자동화 규칙을 배포하지 못했습니다."라는 오류 메시지와 함께 배포에 실패했습니다.
배포 세부 정보에는 실패에 대한 다음 열에 나열된 이유가 포함되어 있습니다.		 플레이북이 이동되었습니다.
- 또는-
플레이북이 삭제되었습니다.
- 또는-
대상 작업 영역에는 플레이북에 액세스할 수 없습니다.		 플레이북이 있고 대상 작업 영역에 플레이북이 포함된 리소스 그룹에 대한 올바른 액세스 권한이 있는지 확인합니다.
대상 작업 영역에서 "자동화 규칙을 배포하지 못했습니다."라는 오류 메시지와 함께 배포에 실패했습니다.
배포 세부 정보에는 오류에 대한 다음 열에 나열된 이유가 포함되어 있습니다.		 자동화 규칙을 가져올 때 정의된 만료 날짜가 지났습니다. 규칙이 원래 작업 영역에서 만료된 상태로 유지되도록 하려면 다음을 수행합니다.
  1. 내보낸 자동화 규칙을 나타내는 JSON 파일을 편집합니다.
  2. 만료 날짜(문자열 "expirationTimeUtc":바로 다음에 표시됨)를 찾아 새 만료 날짜(향후)로 바꿉니다.
  3. 파일을 저장하고 대상 작업 영역으로 다시 가져옵니다.
규칙이 원래 작업 영역의 활성 상태 반환되도록 하려면 다음을 수행합니다.
  1. 원래 작업 영역에서 자동화 규칙을 편집하고 만료 날짜를 미래의 날짜로 변경합니다.
  2. 원래 작업 영역에서 규칙을 다시 내보냅니다.
  3. 새로 내보낸 버전을 대상 작업 영역으로 가져옵니다.
대상 작업 영역에서 오류 메시지와 함께 배포에 실패했습니다.
"가져오려고 시도한 JSON 파일의 형식이 잘못되었습니다. 파일을 검사 다시 시도하세요."		 가져온 파일이 유효한 JSON 파일이 아닙니다. 파일에서 문제를 확인하고 다시 시도하세요. 최상의 결과를 위해 원래 규칙을 새 파일로 다시 내보낸 다음 가져오기를 다시 시도합니다.
대상 작업 영역에서 오류 메시지와 함께 배포에 실패했습니다.
"파일에 리소스가 없습니다. 파일에 배포 리소스가 포함되어 있는지 확인하고 다시 시도하세요."		 JSON 파일의 "리소스" 키 아래에 있는 리소스 목록이 비어 있습니다. 파일에서 문제를 확인하고 다시 시도하세요. 최상의 결과를 위해 원래 규칙을 새 파일로 다시 내보낸 다음 가져오기를 다시 시도합니다.

다음 단계

이 문서에서는 ARM 템플릿으로 자동화 규칙을 내보내고 가져오는 방법을 알아보았습니다.

  • Last updated on