Vytváření a správa playbooků Microsoft Sentinel

Playbooky jsou kolekce procedur, které je možné spustit od Microsoft Sentinel v reakci na celý incident, jednotlivou výstrahu nebo konkrétní entitu. Playbook může pomoct automatizovat a orchestrovat vaši odpověď a připojit ho k pravidlu automatizace, které se automaticky spustí při vygenerování konkrétních výstrah nebo při vytváření nebo aktualizaci incidentů. Playbooky je také možné spouštět ručně na vyžádání pro konkrétní incidenty, výstrahy nebo entity.

Tento článek popisuje, jak vytvářet a spravovat playbooky Microsoft Sentinel. Tyto playbooky můžete později připojit k analytickým nebo automatizačním pravidlům nebo je můžete spustit ručně pro konkrétní incidenty, výstrahy nebo entity.

Poznámka

Playbooky v Microsoft Sentinel jsou založené na pracovních postupech integrovaných v Azure Logic Apps, což znamená, že získáte veškerý výkon, přizpůsobitelnost a předdefinované šablony aplikací logiky. Můžou se účtovat další poplatky. Informace o cenách najdete na stránce s cenami Azure Logic Apps.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

• Účet Azure a předplatné. Pokud nemáte předplatné, zaregistrujte si bezplatný účet Azure.

• Pokud chcete vytvářet a spravovat playbooky, potřebujete přístup k Microsoft Sentinel s jednou z následujících Azure rolí:

  Aplikace logiky	Azure rolí	Popis
  Spotřeby	Přispěvatel aplikace logiky	Úpravy a správa aplikací logiky
  Spotřeby	Operátor aplikace logiky	Čtení, povolení a zakázání aplikací logiky
  Standard	Standardní operátor Logic Apps	Povolte, znovu odešlete a zakažte pracovní postupy.
  Standard	Standardní vývojář pro Logic Apps	Vytváření a úpravy pracovních postupů
  Standard	Přispěvatel služby Logic Apps Úrovně Standard	Správa všech aspektů pracovního postupu

  Další informace najdete v následující dokumentaci:

  • Přístup k operacím aplikace logiky
  • Microsoft Sentinel předpoklady playbooku.

• Před vytvořením playbooku doporučujeme přečíst si Azure Logic Apps pro Microsoft Sentinel playbooky.

Vytvoření playbooku

Pokud chcete vytvořit nový playbook v Microsoft Sentinel, postupujte následovně:

1. Na portálu Defender nebo v Azure Portal přejděte do pracovního prostoru Microsoft Sentinel. V nabídce pracovního prostoru v části Konfigurace vyberte Automatizace.

   Portál Defender

   

   Azure Portal

   

2. V horní nabídce vyberte Vytvořit a pak vyberte jednu z následujících možností:

   • Pokud vytváříte playbook Consumption, vyberte jednu z následujících možností v závislosti na triggeru, který chcete použít, a pak postupujte podle pokynů pro aplikaci logiky Consumption:

     • Playbook s triggerem incidentu
     • Playbook s triggerem upozornění
     • Playbook s triggerem entity

     Tato příručka pokračuje triggerem Playbook s entitou.

   • Pokud vytváříte playbook úrovně Standard, vyberte Prázdný playbook a pak postupujte podle pokynů pro typ aplikace logiky Standard.

   Další informace najdete v tématech Podporované typy aplikací logikya Podporované triggery a akce v playbookech Microsoft Sentinel.

Příprava aplikace logiky playbooku

Vyberte jednu z následujících karet, kde najdete podrobnosti o tom, jak vytvořit aplikaci logiky pro playbook v závislosti na tom, jestli používáte aplikaci logiky Consumption nebo Standard. Další informace najdete v tématu Podporované typy aplikací logiky.

Tip

Pokud vaše playbooky potřebují přístup k chráněným prostředkům, které jsou ve virtuální síti Azure nebo připojené k virtuální síti, vytvořte pracovní postup standardní aplikace logiky.

Standardní pracovní postupy běží v jednom tenantovi Azure Logic Apps a podporují použití privátních koncových bodů pro příchozí provoz, aby vaše pracovní postupy mohly komunikovat soukromě a bezpečně s virtuálními sítěmi. Standardní pracovní postupy také podporují integraci virtuální sítě pro odchozí provoz. Další informace najdete v tématu Zabezpečení provozu mezi virtuálními sítěmi a jedním tenantem Azure Logic Apps pomocí privátních koncových bodů.

Spotřeby

Po výběru triggeru, který zahrnuje incident, výstrahu nebo trigger entity, se zobrazí průvodce vytvořením playbooku , například:

Playbook vytvoříte takto:

1. Na kartě Základy zadejte následující informace:

   1. V části Předplatné a Skupina prostředků vyberte požadované hodnoty v příslušných seznamech.

      Hodnota Region (Oblast ) je nastavená na stejnou oblast jako přidružený pracovní prostor služby Log Analytics.

   2. Jako Název playbooku zadejte název playbooku.

   3. Pokud chcete monitorovat aktivitu tohoto playbooku pro diagnostické účely, vyberte Povolit diagnostické protokoly ve službě Log Analytics a pak vyberte pracovní prostor služby Log Analytics , pokud jste pracovní prostor ještě nevybrali.

2. Vyberte Další: Připojení >.

3. Na kartě Připojení doporučujeme ponechat výchozí hodnoty, které nakonfigurují aplikaci logiky tak, aby se připojila k Microsoft Sentinel se spravovanou identitou.

   Další informace najdete v tématu Ověřování playbooků pro Microsoft Sentinel.

4. Pokračujte tak, že vyberete Další: Zkontrolovat a vytvořit >.

5. Na kartě Zkontrolovat a vytvořit zkontrolujte možnosti konfigurace a vyberte Vytvořit playbook.

   Azure vytvoření a nasazení playbooku trvá několik minut. Po dokončení nasazení se váš playbook otevře v návrháři pracovního postupu Consumption pro Azure Logic Apps. Aktivační událost, kterou jste vybrali dříve, se automaticky zobrazí jako první krok v pracovním postupu, takže teď můžete pokračovat v vytváření pracovního postupu odtud.

   

6. V návrháři vyberte trigger Microsoft Sentinel, pokud ještě není vybraný.

7. V podokně Vytvořit připojení zadejte podle těchto kroků požadované informace pro připojení k Microsoft Sentinel.

   1. V části Ověřování vyberte některou z následujících metod, které mají vliv na další parametry připojení:

      Metoda	Popis
      Oauth	Open Authorization (OAuth) je technologický standard, který umožňuje autorizovat aplikaci nebo službu, aby se přihlásila k jiné aplikaci nebo službě bez zveřejnění soukromých informací, jako jsou hesla. OAuth 2.0 je oborový protokol pro autorizaci a uděluje omezený přístup k chráněným prostředkům. Chcete-li se dozvědět více informací, podívejte se na následující zdroje: - Co je OAuth? - Autorizace OAuth 2.0 s Microsoft Entra ID
      Instanční objekt	Instanční objekt představuje entitu, která vyžaduje přístup k prostředkům zabezpečeným Microsoft Entra tenantem. Další informace najdete v tématu Instanční objekt.
      Spravovaná identita	Identita, která se automaticky spravuje v Microsoft Entra ID. Aplikace můžou tuto identitu používat k přístupu k prostředkům, které podporují ověřování Microsoft Entra, a k získání Microsoft Entra tokenů bez nutnosti spravovat přihlašovací údaje. Pro zajištění optimálního zabezpečení Microsoft doporučuje používat pro ověřování spravovanou identitu, pokud je to možné. Tato možnost poskytuje vynikající zabezpečení a pomáhá zabezpečit ověřovací informace, abyste nemuseli tyto citlivé informace spravovat. Chcete-li se dozvědět více informací, podívejte se na následující zdroje: - Co jsou spravované identity pro prostředky Azure? - Ověřování přístupu a připojení k prostředkům Azure pomocí spravovaných identit v Azure Logic Apps

      Další informace najdete v tématu Výzvy k ověření.

   2. Na základě vybrané možnosti ověřování zadejte potřebné hodnoty parametrů pro odpovídající možnost.

      Další informace o těchto parametrech najdete v referenčních informacích ke konektoru Microsoft Sentinel.

   3. Jako ID tenanta vyberte ID tenanta Microsoft Entra.

   4. Až skončíte, vyberte Přihlásit se.

8. Pokud jste dříve zvolili Playbook s triggerem entity, vyberte typ entity, kterou má tento playbook přijímat jako vstup.

   

Standard

Playbooky založené na standardním pracovním postupu nepodporují šablony playbooků, takže musíte nejprve vytvořit standardní aplikaci logiky, pak vytvořit playbook a nakonec zvolit trigger pro váš playbook.

Po výběru prázdného playbooku se otevře nová karta prohlížeče a zobrazí se průvodce Vytvořením aplikace logiky . Průvodce zobrazí dostupné možnosti hostování, kde je už vybraný standardní plán služby pracovního postupu , například:

Aplikaci logiky úrovně Standard vytvoříte takto:

Vytvoření standardní aplikace logiky

1. Na stránce Vytvořit aplikaci logiky potvrďte výběr plánu hostování a pak vyberte Vybrat.

2. Na kartě Základy zadejte následující informace:

   1. V části Předplatné a Skupina prostředků vyberte požadované hodnoty v příslušných seznamech.

   2. Do pole Název aplikace logiky zadejte název vaší aplikace logiky.

   3. V části Oblast vyberte oblast Azure pro vaši aplikaci logiky.

   4. V případě plánu Windows (vybraná oblast) vytvořte nebo vyberte existující plán.

   5. V části Cenový plán vyberte výpočetní prostředky a jejich ceny pro vaši aplikaci logiky.

   6. V části Redundance zóny můžete tuto funkci povolit, pokud jste vybrali Azure oblast, která podporuje redundanci zóny dostupnosti.

      V tomto příkladu nechte možnost zakázanou. Další informace najdete v tématu Ochrana aplikací logiky před selháními oblastí pomocí zón redundance a zón dostupnosti.

   7. Vyberte Další: Úložiště >.

   

3. Na kartě Úložiště zadejte následující informace:

   1. V části Typ úložiště vyberte Azure Storage a vytvořte nebo vyberte účet úložiště.

   2. V části Nastavení diagnostiky služby Blob Service ponechte výchozí nastavení.

4. Na kartě Sítě můžete pro tento příklad ponechat výchozí možnosti.

   V případě konkrétních reálných produkčních scénářů nezapomeňte zkontrolovat a vybrat příslušné možnosti. Tuto konfiguraci můžete změnit také po nasazení prostředku aplikace logiky. Další informace najdete v následující dokumentaci:

   • Vytvoření příkladu standardního pracovního postupu – Azure Portal

   • Zabezpečte provoz mezi aplikacemi logiky Standard a Azure virtuálními sítěmi pomocí privátních koncových bodů.

5. Na kartě Monitorování postupujte takto:

   1. V části Application Insights nastavte Povolit Application Insights na Ne.

      Toto nastavení zakáže nebo povolí monitorování výkonu pomocí Application Insights ve službě Azure Monitor. U Microsoft Sentinel ale tato funkce není povinná a stojí navíc.

   2. Pokud chcete na tuto aplikaci logiky použít značky pro účely kategorizace prostředků a fakturace, vyberte Další: Značky >. V opačném případě vyberte Zkontrolovat a vytvořit.

6. Na kartě Zkontrolovat a vytvořit zkontrolujte možnosti konfigurace a vyberte Vytvořit.

   Azure vytvoření a nasazení aplikace logiky trvá několik minut.

7. Po dokončení nasazení vyberte Přejít k prostředku, čímž otevřete prostředek aplikace logiky.

   Na rozdíl od klasických playbooků Consumption ještě nemáte hotovo. Teď musíte vytvořit pracovní postup.

Vytvoření pracovního postupu pro playbook

1. V nabídce aplikace logiky v části Pracovní postupy vyberte Pracovní postupy.

2. Na panelu nástrojů stránky Pracovní postupy vyberte Přidat.

3. V podokně Nový pracovní postup zadejte následující informace:

   Vlastnost	Popis
   Název pracovního postupu	Smysluplný název pracovního postupu.
   Typ stavu	Vyberte Stavový. Microsoft Sentinel nepodporuje použití bezstavových pracovních postupů jako playbooků.

4. Po dokončení vyberte Vytvořit.

   Jakmile Azure pracovní postup uloží, zobrazí se na stránce Pracovní postupy váš pracovní postup.

5. Výběrem pracovního postupu otevřete stránku Přehled pracovního postupu.

   Tato stránka zobrazuje všechny informace o vašem pracovním postupu, včetně historie všech časů spuštění pracovního postupu.

6. V nabídce pracovního postupu v části Vývojář vyberte Designer.

   Otevře se návrhář pracovního postupu, abyste mohli začít vytvářet pracovní postup přidáním triggeru.

Přidání triggeru pracovního postupu

1. V návrháři vyberte Přidat trigger a otevřete podokno Přidat trigger , například:

   

2. Pomocí těchto obecných kroků vyhledejte Microsoft Sentinel triggery, které zahrnují tyto triggery:

   • Microsoft Sentinel entita
   • Microsoft Sentinel upozornění
   • Microsoft Sentinel incident

   

3. Vyberte trigger, který chcete použít pro svůj playbook.

   Tento příklad pokračuje triggerem entity Microsoft Sentinel.

4. V návrháři vyberte trigger, pokud ještě není vybraný.

5. V podokně Vytvořit připojení zadejte požadované informace pro připojení k Microsoft Sentinel.

   1. V části Ověřování vyberte některou z následujících metod, které mají vliv na další parametry připojení:

      Metoda	Popis
      Oauth	Open Authorization (OAuth) je technologický standard, který umožňuje autorizovat aplikaci nebo službu, aby se přihlásila k jiné aplikaci nebo službě bez zveřejnění soukromých informací, jako jsou hesla. OAuth 2.0 je oborový protokol pro autorizaci a uděluje omezený přístup k chráněným prostředkům. Chcete-li se dozvědět více informací, podívejte se na následující zdroje: - Co je OAuth? - Autorizace OAuth 2.0 s Microsoft Entra ID
      Instanční objekt	Instanční objekt představuje entitu, která vyžaduje přístup k prostředkům zabezpečeným Microsoft Entra tenantem. Další informace najdete v tématu Instanční objekt.
      Spravovaná identita	Identita, která se automaticky spravuje v Microsoft Entra ID. Aplikace můžou tuto identitu používat k přístupu k prostředkům, které podporují ověřování Microsoft Entra, a k získání Microsoft Entra tokenů bez nutnosti spravovat přihlašovací údaje. Pro zajištění optimálního zabezpečení Microsoft doporučuje používat pro ověřování spravovanou identitu, pokud je to možné. Tato možnost poskytuje vynikající zabezpečení a pomáhá zabezpečit ověřovací informace, abyste nemuseli tyto citlivé informace spravovat. Chcete-li se dozvědět více informací, podívejte se na následující zdroje: - Co jsou spravované identity pro prostředky Azure? - Ověřování přístupu a připojení k prostředkům Azure pomocí spravovaných identit v Azure Logic Apps

      Další informace najdete v tématu Výzvy k ověření.

   2. Na základě vybrané možnosti ověřování zadejte potřebné hodnoty parametrů pro odpovídající možnost.

      Další informace o těchto parametrech najdete v referenčních informacích ke konektoru Microsoft Sentinel.

   3. Jako ID tenanta vyberte ID tenanta Microsoft Entra.

   4. Až skončíte, vyberte Přihlásit se.

6. Pokud jste zvolili Playbook s triggerem entity, vyberte typ entity, kterou má tento playbook přijímat jako vstup.

   

Další informace najdete v tématu Podporované triggery a akce v playbookech Microsoft Sentinel.

Výzvy k ověření

Když přidáte trigger nebo následnou akci, která vyžaduje ověření, může se zobrazit výzva k výběru z dostupných typů ověřování podporovaných příslušným poskytovatelem prostředků. V tomto příkladu je trigger Microsoft Sentinel první operací, kterou do pracovního postupu přidáte. Poskytovatel prostředků je tedy Microsoft Sentinel, který podporuje několik možností ověřování. Další informace najdete v následující dokumentaci:

• Ověřování playbooků pro Microsoft Sentinel
• Podporované triggery a akce v playbookech Microsoft Sentinel

Přidání akcí do playbooku

Teď, když máte pracovní postup pro playbook, definujte, co se stane, když playbook zavoláte. Přidejte akce, logické podmínky, smyčky nebo podmínky přepnutí případu tím, že v návrháři vyberete znaménko plus (+). Další informace najdete v tématu Vytvoření pracovního postupu s triggerem nebo akcí.

Tento výběr otevře podokno Přidat akci , kde můžete procházet nebo vyhledávat služby, aplikace, systémy, akce toku řízení a další. Po zadání hledaných termínů nebo výběru požadovaného prostředku se v seznamu výsledků zobrazí dostupné akce.

Když v každé akci vyberete uvnitř pole, zobrazí se následující možnosti:

• Dynamický obsah (ikona blesku): Vyberte ze seznamu dostupných výstupů z předchozích akcí v pracovním postupu, včetně triggeru Microsoft Sentinel. Tyto výstupy mohou například zahrnovat atributy výstrahy nebo incidentu, které byly předány do playbooku, včetně hodnot a atributů všech namapovaných entit a vlastních podrobností v upozornění nebo incidentu. Výběrem těchto výstupů můžete přidat odkazy na aktuální akci.

  Příklady, které ukazují použití dynamického obsahu, najdete v následujících částech:

  • Použití playbooků entit bez ID incidentu
  • Práce s vlastními podrobnostmi

• Editor výrazů (ikona funkce): Pokud chcete do pracovního postupu přidat další logiku, vyberte si z velké knihovny funkcí.

Další informace najdete v tématu Podporované triggery a akce v playbookech Microsoft Sentinel.

Dynamický obsah: Playbooky entit bez ID incidentu

Playbooky vytvořené pomocí triggeru Microsoft Sentinel entity často používají pole ID ARM incidentu, například k aktualizaci incidentu po provedení akce s entitou. Pokud se takový playbook aktivuje ve scénáři, který není připojen k incidentu, například při proaktivním vyhledávání hrozeb, neexistuje id incidentu, které by toto pole vyplňovalo. Místo toho se pole naplní hodnotou null. V důsledku toho může dojít k selhání spuštění playbooku do dokončení.

Chcete-li tomuto selhání zabránit, doporučujeme vytvořit podmínku, která zkontroluje hodnotu v poli ID incidentu předtím, než pracovní postup provede jakékoli další akce. Pokud má pole hodnotu null, můžete předepisovat jinou sadu akcí, které se mají provést, protože playbook není spuštěný z incidentu.

1. V pracovním postupu před první akcí, která odkazuje na pole ID ARM incidentu , přidejte akci Podmínka podle těchto obecných kroků.

2. V podokně Podmínka na řádku podmínky vyberte levé pole Zvolit hodnotu a pak vyberte možnost dynamického obsahu (ikona blesku).

3. V seznamu dynamického obsahu v části Microsoft Sentinel incident použijte vyhledávací pole k vyhledání a výběru ID ARM incidentu.

   Tip

   Pokud se výstup v seznamu nezobrazí, vedle názvu triggeru vyberte Zobrazit další.

4. V prostředním poli v seznamu operátorů vyberte není rovno.

5. V pravém poli Zvolte hodnotu a vyberte možnost editoru výrazů (ikona funkce).

6. V editoru zadejte null a vyberte Přidat.

Po dokončení bude vaše podmínka vypadat podobně jako v následujícím příkladu:

Dynamický obsah: Práce s vlastními podrobnostmi

V triggeru incidentu Microsoft Sentinel je výstupem vlastních podrobností Výstraha pole objektů JSON, kde každý z nich představuje vlastní podrobnosti z výstrahy. Vlastní podrobnosti jsou páry klíč-hodnota, které umožňují zobrazit informace z událostí v upozornění, aby mohly být reprezentovány, sledovány a analyzovány jako součást incidentu.

Toto pole v upozornění je přizpůsobitelné, takže jeho schéma závisí na typu události, která se zobrazí. Pokud chcete vygenerovat schéma, které určuje, jak analyzovat výstup vlastních podrobností, zadejte data z instance této události:

1. V nabídce Microsoft Sentinel pracovního prostoru v části Konfigurace vyberte Analýza.

2. Postupujte podle pokynů k vytvoření nebo otevření existujícího naplánovaného pravidla dotazu nebo pravidla dotazu NRT.

3. Na kartě Nastavit logiku pravidlarozbalte část Vlastní podrobnosti, například:

   

   Následující tabulka obsahuje další informace o těchto párech klíč-hodnota:

   Položka	Umístění	Popis
   Klíč	Levý sloupec	Představuje vlastní pole, která vytvoříte.
   Hodnota	Pravý sloupec	Představuje pole z dat události, která naplňují vlastní pole.

4. Pokud chcete vygenerovat schéma, zadejte následující příklad kódu JSON:

   { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
   

   Kód zobrazuje názvy klíčů jako pole a hodnoty jako položky v polích. Hodnoty se zobrazují jako skutečné hodnoty, nikoli jako sloupec, který obsahuje hodnoty.

Pokud chcete pro triggery incidentů použít vlastní pole, postupujte podle těchto kroků pro váš pracovní postup:

1. V návrháři pracovního postupu přidejte do triggeru incidentu Microsoft Sentinel integrovanou akci s názvem Parsovat JSON.

2. Vyberte uvnitř parametru Obsahu akce a vyberte možnost seznamu dynamického obsahu (ikona blesku).

3. V seznamu v části Trigger incidentu vyhledejte a vyberte Vlastní podrobnosti výstrahy, například:

   

   Tento výběr automaticky přidá smyčku For each kolem parsování JSON , protože incident obsahuje pole výstrah.

4. V podokně Parsovat informace JSON vyberte Použít ukázkovou datovou část ke generování schématu, například:

   

5. Do pole Zadejte nebo vložte ukázkovou datovou část JSON zadejte ukázkovou datovou část a vyberte Hotovo.

   Ukázkovou datovou část můžete najít například tak, že v Log Analytics vyhledáte jinou instanci této výstrahy a pak zkopírujete vlastní objekt podrobností, který najdete v části Rozšířené vlastnosti. Pokud chcete získat přístup k datům Log Analytics, přejděte buď na stránku Protokoly v Azure Portal, nebo na stránku Rozšířené proaktivní vyhledávání na portálu Defender.

   Následující příklad ukazuje dřívější ukázkový kód JSON:

   

   Po dokončení bude pole Schéma obsahovat vygenerované schéma založené na vámi zadané ukázce. Akce Parsovat JSON vytvoří vlastní pole, která teď můžete použít jako dynamická pole s typem Pole v následných akcích pracovního postupu.

   Následující příklad ukazuje pole a jeho položky ve schématu i v seznamu dynamického obsahu pro následnou akci s názvem Compose:

   

Správa playbooků

Výběrem karty Aktivní playbooky automation > zobrazíte všechny playbooky, ke kterým máte přístup, filtrované podle zobrazení předplatného.

Po připojení k portálu Microsoft Defender se na kartě Aktivní playbooky ve výchozím nastavení zobrazí předdefinovaný filtr s předplatným onboardovaného pracovního prostoru. V Azure Portal upravte předplatná, která zobrazujete, v nabídce Adresář a předplatné v záhlaví globální Azure stránky.

Zatímco karta Aktivní playbooky zobrazuje všechny aktivní playbooky dostupné ve všech vybraných předplatných, ve výchozím nastavení je možné playbook použít jenom v rámci předplatného, ke kterému patří, pokud výslovně neudělíte Microsoft Sentinel oprávnění ke skupině prostředků playbooku.

Karta Aktivní playbooky zobrazuje playbooky s následujícími podrobnostmi:

Název sloupce	Popis
Stav	Označuje, jestli je playbook povolený nebo zakázaný.
Plán	Označuje, jestli playbook používá typ prostředku Standard nebo Consumption Azure Logic Apps. Playbooky typu Standard používají LogicApp/Workflow konvenci vytváření názvů, která odráží, jak standardní playbook představuje pracovní postup, který existuje společně s jinými pracovními postupy v jedné aplikaci logiky. Další informace najdete v tématu playbooky Azure Logic Apps pro Microsoft Sentinel.
Druh triggeru	Označuje trigger v Azure Logic Apps, který spustí tento playbook: - Microsoft Sentinel incident, výstraha nebo entita: Playbook se spouští jedním z triggerů Sentinel, včetně incidentu, výstrahy nebo entity. - Použití Microsoft Sentinel akce: Playbook se spouští s triggerem, který není Microsoft Sentinel, ale používá akci Microsoft Sentinel. - Jiné: Playbook neobsahuje žádné komponenty Microsoft Sentinel. - Neicializováno: Playbook byl vytvořen, ale neobsahuje žádné součásti, ani neaktivuje žádné akce.

Výběrem playbooku otevřete jeho stránku Azure Logic Apps, která zobrazuje další podrobnosti o playbooku. Na stránce Azure Logic Apps:

• Zobrazení protokolu všech časů spuštění playbooku
• Zobrazení výsledků spuštění, včetně úspěchů a selhání a dalších podrobností
• Pokud máte příslušná oprávnění, otevřete návrháře pracovního postupu v Azure Logic Apps a upravte playbook přímo.

Související obsah

Po vytvoření playbooku ho připojte k pravidlům, která se mají aktivovat událostmi ve vašem prostředí, nebo playbooky spouštět ručně pro konkrétní incidenty, výstrahy nebo entity.

Další informace najdete tady:

• Automatizace a spouštění playbooků Microsoft Sentinel
• Ověřování playbooků pro Microsoft Sentinel
• Zastavení potenciálně ohrožených uživatelů pomocí playbooku Microsoft Sentinel