Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zalecamy migrowanie istniejących podręczników opartych na wyzwalaczach alertów i migrowanie ich z wywoływanych przez reguły analizy do wywoływanych przez reguły automatyzacji. W tym artykule wyjaśniono, dlaczego zalecamy wykonanie tej akcji i sposób migrowania podręczników.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dlaczego warto przeprowadzić migrację

Podręczniki wywoływane przez reguły automatyzacji zamiast reguł analizy mają następujące zalety:

  • Zarządzanie automatyzacją z jednego wyświetlacza, niezależnie od typu ("pojedyncze okienko szkła").

  • Używaj pojedynczej reguły automatyzacji wyzwalającej podręczniki dla wielu reguł analizy, zamiast oddzielnie konfigurować każdą regułę analizy.

  • Zdefiniuj kolejność wykonywania podręczników alertów.

  • Obsługa scenariuszy, które ustawiają datę wygaśnięcia dla uruchamiania podręcznika.

Migrowanie wyzwalacza podręcznika w ogóle nie zmienia podręcznika i zmienia tylko mechanizm, który wywołuje podręcznik w celu uruchomienia zmian.

Możliwość wywoływania podręczników z reguł analizy będzie przestarzała od marca 2026 r. Do tego czasu podręczniki zdefiniowane już zgodnie z regułami analizy będą nadal działać, ale od czerwca 2023 r. nie można już dodawać podręczników do listy elementów wywoływanych z reguł analizy. Jedyną pozostałą opcją jest wywołanie ich z reguł automatyzacji.

Wymagania wstępne

Potrzebne są następujące elementy:

  • Rola Współautor usługi Logic Apps do tworzenia i edytowania podręczników

  • Rola współautora usługi Microsoft Sentinel w celu dołączenia podręcznika do reguły automatyzacji

Aby uzyskać więcej informacji, zobacz Wymagania wstępne podręcznika usługi Microsoft Sentinel.

Tworzenie reguły automatyzacji na podstawie reguły analizy

Użyj tej procedury, jeśli migrujesz podręcznik używany tylko przez jedną regułę analizy. W przeciwnym razie użyj opcji Utwórz nową regułę automatyzacji na stronie Automatyzacja.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>

  2. W obszarze Aktywne reguły znajdź regułę analizy, która została już skonfigurowana do uruchamiania podręcznika, a następnie wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający znajdowanie i wybieranie reguły analizy.

  3. Wybierz kartę Automatyczna odpowiedź. Podręczniki skonfigurowane bezpośrednio do uruchamiania z tej reguły analizy można znaleźć w obszarze Automatyzacja alertów (wersja klasyczna). Zwróć uwagę na ostrzeżenie o wycofaniu.

    Zrzut ekranu przedstawiający ekran reguł automatyzacji i podręczników.

  4. W górnej połowie ekranu wybierz pozycję + Dodaj nowy w obszarze Reguły automatyzacji, aby utworzyć nową regułę automatyzacji.

  5. W panelu Tworzenie nowej reguły automatyzacji w obszarze Wyzwalacz wybierz pozycję Po utworzeniu alertu.

    Zrzut ekranu przedstawiający tworzenie reguły automatyzacji na ekranie reguły analizy.

  6. W obszarze Akcje sprawdź, czy akcja Uruchom podręcznika , będąca jedynym dostępnym typem akcji, jest automatycznie zaznaczona i wyszarana. Wybierz element playbook z tych, które są dostępne na liście rozwijanej w poniższym wierszu.

    Zrzut ekranu przedstawiający wybieranie podręcznika jako akcji w kreatorze reguły automatyzacji.

  7. Wybierz Zastosuj. Nowa reguła jest wyświetlana w siatce reguł automatyzacji.

  8. Usuń podręcznik z sekcji Automatyzacja alertów (wersja klasyczna).

  9. Przejrzyj i zaktualizuj regułę analizy, aby zapisać zmiany.

Tworzenie nowej reguły automatyzacji na stronie Automatyzacja

Użyj tej procedury, jeśli migrujesz podręcznik używany przez wiele reguł analizy. W przeciwnym razie użyj polecenia Create an automation rule from an analytics rule (Tworzenie reguły automatyzacji na podstawie reguły analizy)

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>

  2. Na górnym pasku menu wybierz pozycję Utwórz —> reguła automatyzacji.

  3. Na panelu Tworzenie nowej reguły automatyzacji na liście rozwijanej Wyzwalacz wybierz pozycję Po utworzeniu alertu.

  4. W obszarze Warunki wybierz reguły analizy, dla których chcesz uruchomić określony podręcznik lub zestaw podręczników.

  5. W obszarze Akcje dla każdego podręcznika, który ma zostać wywołany, wybierz pozycję + Dodaj akcję. Akcja Uruchom element playbook jest automatycznie zaznaczona i wyszaryzowana.

  6. Wybierz z listy dostępnych podręczników na liście rozwijanej w poniższym wierszu. Kolejność akcji zgodnie z kolejnością, w jakiej podręczniki mają być uruchamiane, wybierając strzałki w górę/w dół obok każdej akcji.

  7. Wybierz pozycję Zastosuj , aby zapisać regułę automatyzacji.

  8. Edytuj regułę analizy lub reguły, które wywołały te podręczniki (reguły określone w obszarze Warunki), usuwając podręcznik z sekcji Automatyzacja alertów (wersja klasyczna) na karcie Automatyczna odpowiedź .

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz: