将 Microsoft Sentinel 警报触发器 playbook 迁移到自动化规则

建议迁移基于警报触发器构建的现有 playbook，并将其从由分析规则调用迁移到由自动化规则调用。 本文介绍为何建议执行此操作以及如何迁移 playbook。

• 如果要迁移仅由一个分析规则使用的 playbook，请按照根据分析规则创建自动化规则下的说明进行操作。

• 如果要迁移由多个分析规则使用的 playbook，请按照从自动化页面创建新的自动化规则下的说明进行操作。

为何要迁移

由自动化规则而不是分析规则调用的 Playbook 具有以下优势：

• 自动化管理从一个显示屏上进行，无论类型如何（“单一的视窗”）。

• 为多个分析规则使用一个由自动化规则触发的 playbook，而不是单独配置每个分析规则。

• 定义警报 playbook 的执行顺序。

• 支持为运行 playbook 设置到期日期的方案。

迁移 playbook 触发器完全不会更改 playbook，只会更改调用 playbook 以运行更改的机制。

从分析规则调用 playbook 的功能将于 2026 年 3 月弃用。 在此之前，已定义为通过分析规则调用的 playbook 将继续运行，但自 2023 年 6 月起，你无法再将 playbook 添加到由分析规则调用的 playbook 列表中。 唯一剩余的选项是从自动化规则调用它们。

先决条件

你将需要：

• 用于创建和编辑 playbook 的逻辑应用参与者角色

• 用于将 playbook 附加到自动化规则的 Microsoft Sentinel 参与者角色

有关详细信息，请参阅 Microsoft Sentinel playbook 先决条件。

根据分析规则创建自动化规则

如果要迁移只由一个分析规则使用的 playbook，请使用此过程。 否则，请使用从自动化页面创建新的自动化规则。

1. 对于 Azure 门户中的 Microsoft Sentinel，请选择“配置”>“分析”页面。 对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在“活动规则”下，找到已配置为运行 playbook 的分析规则，然后选择“编辑”。

   

3. 选择“自动响应”选项卡。可以在“警报自动化(经典)”下找到直接配置为根据此分析规则运行的 playbook。 请注意有关弃用的警告。

   

4. 在屏幕的上半部分，选择“自动化规则”下的“+ 新增”，以创建新的自动化规则。

5. 在“创建新的自动化规则”窗格中，“触发器”下，选择“警报创建时”。

   

6. 在“操作”下，可以看到“运行 playbook”操作是唯一可用的操作类型，它被自动选中并显示为灰色。请从以下行的下拉列表所提供的 playbook 中选择 playbook。

   

7. 选择“应用”。 新规则会显示在自动化规则网格中。

8. 从“警报自动化(经典)”部分删除 playbook。

9. 查看并更新分析规则以保存所做的更改。

从自动化页面创建新的自动化规则

如果要迁移多个分析规则使用的 playbook，请使用此过程。 否则，请使用根据分析规则创建自动化规则

1. 对于 Azure 门户中的 Microsoft Sentinel，请选择“配置”>“分析”页面。 对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在顶部菜单栏中，选择“创建”->“自动化规则”。

3. 在“创建新的自动化规则”窗格的“触发器”下拉列表中，选择“警报创建时”。

4. 在“条件”下，选择要对其运行一个特定的 playbook 或一组 playbook 的分析规则。

5. 在“操作”下，对于希望此规则调用的每个 playbook，选择“+ 添加操作”。 “运行 playbook”操作会自动选中并灰显。

6. 从下行的下拉列表中的可用 playbook 列表中选择。 根据你希望 playbook 运行的顺序对操作进行排序，方法是选择每个操作旁边的向上/向下箭头。

7. 选择“应用”以保存自动化规则。

8. 编辑调用了这些 playbook 的一个或多个分析规则（在“条件”下指定的规则），从“自动响应”选项卡的“警报自动化(经典)”部分删除 playbook。

相关内容

有关详细信息，请参阅：

• 使用自动化规则在 Microsoft Sentinel 中自动响应威胁
• 向 Microsoft Sentinel 验证 playbook
• 创建和管理 Microsoft Sentinel playbook