Migrace playbooků aktivujících upozornění služby Microsoft Sentinel do pravidel automatizace

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Doporučujeme migrovat existující playbooky založené na triggerech upozornění a migrovat je z vyvolání analytických pravidel , aby byla vyvolána pravidly automatizace. Tento článek vysvětluje, proč doporučujeme tuto akci a jak migrovat playbooky.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Proč migrovat

Playbooky, které jsou vyvolány pravidly automatizace místo analytických pravidel, mají následující výhody:

  • Správa automatizace z jednoho displeje bez ohledu na typ ("jedno podokno skla").

  • Místo samostatné konfigurace jednotlivých analytických pravidel použijte jedno pravidlo automatizace, které aktivuje playbooky pro více analytických pravidel.

  • Definujte pořadí, ve kterém se mají spustit playbooky výstrah.

  • Podpora pro scénáře, které pro spuštění playbooku nastavují datum vypršení platnosti

Migrace triggeru playbooku vůbec nezmění playbook a změní pouze mechanismus, který vyvolá playbook, aby se spustily změny.

Možnost volat playbooky z analytických pravidel bude zastaralá od března 2026. Do té doby se playbooky definované jako z analytických pravidel budou dál spouštět, ale od června 2023 už není možné do seznamu playbooků vyvolaných z analytických pravidel přidávat playbooky. Jedinou zbývající možností je vyvolat je z pravidel automatizace.

Požadavky

Budete potřebovat:

  • Role Přispěvatel Logic Apps pro vytváření a úpravy playbooků

  • Role Přispěvatel Microsoft Sentinelu pro připojení playbooku k pravidlu automatizace

Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Vytvoření pravidla automatizace z analytického pravidla

Tento postup použijte, pokud migrujete playbook, který používá jenom jedno analytické pravidlo. V opačném případě použijte vytvořit nové pravidlo automatizace ze stránky Automation.

  1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Analýza konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Analytics.

  2. V části Aktivní pravidla vyhledejte analytické pravidlo, které je už nakonfigurované pro spuštění playbooku, a vyberte Upravit.

    Snímek obrazovky s vyhledáním a výběrem analytického pravidla

  3. Vyberte kartu Automatizovaná odpověď. Playbooky nakonfigurované tak, aby se spouštěly z tohoto analytického pravidla, najdete v části Automatizace upozornění (classic). Všimněte si upozornění na vyřazení.

    Snímek obrazovky pravidel automatizace a playbooků

  4. V horní polovině obrazovky vyberte + Přidat nové v části Pravidla automatizace a vytvořte nové pravidlo automatizace.

  5. Na panelu Vytvořit nové pravidlo automatizace v části Aktivační událost vyberte Při vytvoření výstrahy.

    Snímek obrazovky vytvoření pravidla automatizace na obrazovce analytického pravidla

  6. V části Akce uvidíte, že akce Spustit playbook , která je jediným dostupným typem akce, se automaticky vybere a zobrazí šedě. Vyberte playbook z těch, které jsou k dispozici v rozevíracím seznamu v řádku níže.

    Snímek obrazovky s výběrem playbooku jako akce v průvodci pravidlem automatizace

  7. Vyberte Použít. Nové pravidlo se zobrazí v mřížce pravidel automatizace.

  8. Odeberte playbook z části Automatizace výstrah (Classic).

  9. Zkontrolujte a aktualizujte analytické pravidlo, aby se změny uložily.

Vytvoření nového pravidla automatizace ze stránky Automation

Tento postup použijte, pokud migrujete playbook, který používá více analytických pravidel. Jinak použijte vytvořit pravidlo automatizace z analytického pravidla.

  1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Analýza konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Analytics.

  2. V horním řádku nabídek vyberte Vytvořit –> Pravidlo automatizace.

  3. Na panelu Vytvořit nové pravidlo automatizace v rozevíracím seznamu Aktivační událost vyberte Při vytvoření výstrahy.

  4. V části Podmínky vyberte analytická pravidla, na kterých chcete spustit konkrétní playbook nebo sadu playbooků.

  5. V části Akce u každého playbooku, který má toto pravidlo vyvolat, vyberte + Přidat akci. Akce Spustit playbook se automaticky vybere a zobrazí šedě.

  6. V rozevíracím seznamu níže vyberte ze seznamu dostupných playbooků. Seřazení akcí podle pořadí, ve kterém mají playbooky běžet, můžete vybrat šipky nahoru/dolů vedle každé akce.

  7. Výběrem možnosti Použít pravidlo automatizace uložte.

  8. Upravte analytické pravidlo nebo pravidla, která vyvolala tyto playbooky (pravidla zadaná za podmínek), a odeberte playbook z oddílu Automatizace výstrah (classic) na kartě Automatizovaná odpověď .

Související obsah

Další informace naleznete v tématu: