Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zdaleka nejběžnějším typem analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto , které jsou nakonfigurované tak, aby se spouštěly v pravidelných intervalech a kontrolovaly nezpracovaná data z definovaného období zpětného vyhledávání. Dotazy můžou se svými cílovými daty provádět složité statistické operace a odhalit základní hodnoty a odlehlé hodnoty ve skupinách událostí. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.
Tento článek vám pomůže pochopit, jak se vytvářejí pravidla plánované analýzy, a seznámí vás se všemi možnostmi konfigurace a jejich významem. Informace v tomto článku jsou užitečné ve dvou scénářích:
Vytvoření analytického pravidla ze šablony: Použijte logiku dotazu a nastavení plánování a zpětného vyhledávání, jak je definováno v šabloně, nebo je přizpůsobte a vytvořte nová pravidla.
Vytvořte analytické pravidlo úplně od začátku: vytvořte vlastní dotaz a pravidlo od základů. Aby to bylo efektivní, měli byste mít důkladné základy datových věd a dotazovacího jazyka Kusto.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Šablony analytických pravidel
Dotazy v šablonách plánovaných pravidel napsali odborníci na zabezpečení a datové vědy, ať už z Microsoftu, nebo od dodavatele řešení, které šablonu poskytuje.
Šablonu analytického pravidla můžete použít tak, že ze seznamu šablon vyberete název šablony a vytvoříte na něm pravidlo.
Každá šablona obsahuje seznam požadovaných zdrojů dat. Při otevření šablony se automaticky zkontrolují dostupnost zdrojů dat. Dostupnost znamená, že zdroj dat je připojený a data se přes něj pravidelně ingestují. Pokud některý z požadovaných zdrojů dat není k dispozici, nebudete moct pravidlo vytvářet a může se také zobrazit chybová zpráva.
Když vytvoříte pravidlo ze šablony, otevře se průvodce vytvořením pravidla na základě vybrané šablony. Všechny podrobnosti se vyplní automaticky a můžete přizpůsobit nastavení logiky a dalších pravidel tak, aby lépe vyhovovaly vašim konkrétním potřebám. Tento postup můžete zopakovat a vytvořit tak více pravidel založených na šabloně. Když se dostanete na konec průvodce vytvořením pravidla, vaše vlastní nastavení se ověří a pravidlo se vytvoří. Nová pravidla se zobrazí na kartě Aktivní pravidla na stránce Analýza . Podobně se na kartě Šablony pravidel zobrazí šablona, ze které jste pravidlo vytvořili, společně se značkou In use .
Šablony analytických pravidel jsou neustále udržovány svými autory, a to buď kvůli opravě chyb, nebo k upřesnění dotazu. Když šablona obdrží aktualizaci, všechna pravidla založená na této šabloně se zobrazí se značkou Update a vy máte možnost tato pravidla upravit tak, aby zahrnovala změny provedené v šabloně. Všechny změny, které jste v pravidle udělali, můžete také vrátit zpět na původní verzi založenou na šabloně. Další informace najdete v tématu Správa verzí šablon pro pravidla plánované analýzy v Microsoft Sentinel.
Jakmile se seznámíte s možnostmi konfigurace v tomto článku, přečtěte si téma Vytváření pravidel plánované analýzy ze šablon.
Zbytek tohoto článku vysvětluje všechny možnosti přizpůsobení konfigurace pravidel.
Konfigurace analytického pravidla
Tato část vysvětluje klíčové aspekty, které je potřeba vzít v úvahu, než začnete konfigurovat pravidla.
Název a podrobnosti analytického pravidla
První stránka průvodce analytickými pravidly obsahuje základní informace o pravidle.
Jméno: Název pravidla tak, jak se zobrazuje v seznamu pravidel a ve všech filtrech založených na pravidlech. Název musí být jedinečný pro váš pracovní prostor.
Popis: Volný textový popis účelu pravidla.
ID: Identifikátor GUID pravidla jako Azure prostředku, který se mimo jiné používá v požadavcích a odpovědích rozhraní API. Tento identifikátor GUID se přiřadí jenom při vytvoření pravidla, takže se zobrazí jenom v případě, že upravujete existující pravidlo. Protože se jedná o pole jen pro čtení, zobrazuje se šedě a nedá se změnit. Při vytváření nového pravidla ještě neexistuje, a to buď ze šablony, nebo úplně od začátku.
Závažnosti: Hodnocení pro výstrahy vytvořené tímto pravidlem. Závažnost aktivity je výpočet potenciálního negativního dopadu výskytu aktivity.
| Závažnosti | Popis |
|---|---|
| Informační | Žádný dopad na váš systém, ale informace můžou indikovat budoucí kroky plánované aktérem hrozby. |
| Nízké | Okamžitý dopad by byl minimální. Aby mohl aktér hrozeb dosáhnout dopadu na prostředí, bude pravděpodobně muset provést několik kroků. |
| Střední | Objekt actor hrozby může mít s touto aktivitou určitý dopad na prostředí, ale rozsah by byl omezený nebo by vyžadoval další aktivitu. |
| High (Vysoká) | Identifikovaná aktivita poskytuje subjektu hrozby široký přístup k provádění akcí v prostředí nebo je aktivována dopadem na prostředí. |
Výchozí hodnoty úrovně závažnosti nejsou zárukou aktuální úrovně nebo úrovně dopadu na životní prostředí. Přizpůsobte si podrobnosti upozornění a přizpůsobte závažnost, taktiku a další vlastnosti dané instance výstrahy pomocí hodnot všech relevantních polí z výstupu dotazu.
Definice závažnosti pro šablony analytických pravidel Microsoft Sentinel jsou relevantní pouze pro výstrahy vytvořené analytickými pravidly. U výstrah přijatých z jiných služeb definuje závažnost zdrojová služba zabezpečení.
MITRE ATT&CK: Specifikace taktiky útoku a technik reprezentovaných aktivitami zachycenými tímto pravidlem Jsou založeny na taktikách a technikách architektury MITRE ATT&CK®.
Taktiky a techniky MITRE ATT&CK definované zde v pravidle se vztahují na všechny výstrahy generované pravidlem. Platí také pro všechny incidenty vytvořené z těchto výstrah.
Další informace o maximalizaci pokrytí prostředí hrozeb MITRE ATT&CK najdete v tématu Vysvětlení pokrytí zabezpečení pomocí rozhraní MITRE ATT&CK®.
Stav: Když vytvoříte pravidlo, jeho stav je ve výchozím nastavení Povoleno , což znamená, že se spustí okamžitě po jeho vytvoření. Pokud nechcete, aby se spustil okamžitě, máte dvě možnosti:
- Vyberte Zakázáno a pravidlo se vytvoří bez spuštění. Pokud chcete pravidlo spustit, vyhledejte ho na kartě Aktivní pravidla a povolte ho odsud.
- Naplánujte spuštění pravidla na konkrétní datum a čas. Tato metoda je aktuálně ve verzi PREVIEW. Viz Plánování dotazů dále v tomto článku.
Dotaz pravidla
Toto je podstata pravidla: rozhodujete o tom, jaké informace jsou ve výstrahách vytvořených tímto pravidlem a jak jsou informace uspořádané. Tato konfigurace má následné účinky na to, jak vypadají výsledné incidenty a jak snadné nebo obtížné je prošetřit, napravit a vyřešit. Je důležité, aby vaše výstrahy byly co nejvíce bohaté na informace a aby byly snadno přístupné.
Zobrazte nebo zadejte dotaz Kusto, který analyzuje nezpracovaná data protokolu. Pokud vytváříte pravidlo úplně od začátku, je vhodné před otevřením tohoto průvodce naplánovat a navrhnout dotaz. Dotazy můžete sestavovat a testovat na stránce Protokoly .
Všechno, co zadáte do okna dotazu pravidla, se okamžitě ověří, takže se hned dozvíte, jestli neuděláte nějaké chyby.
Osvědčené postupy pro dotazy na analytická pravidla
Jako zdroj dotazu doporučujeme použít analyzátor ASIM (Advanced Security Information Model) místo nativní tabulky. Tím zajistíte, že dotaz podporuje jakýkoli aktuální nebo budoucí relevantní zdroj dat nebo rodinu zdrojů dat, a nespoléhat se na jediný zdroj dat.
Délka dotazu by měla být 1 až 10 000 znaků a nesmí obsahovat "
search *" nebo "union *". Uživatelem definované funkce můžete použít k překonání omezení délky dotazu, protože jedna funkce může nahradit desítky řádků kódu.Použití funkcí ADX k vytváření Azure Data Explorer dotazů v okně dotazu Log Analytics se nepodporuje.
Pokud použijete
bag_unpackfunkci v dotazu a promítnete sloupce jako pole pomocíproject field1"" a sloupec neexistuje, dotaz selže. Pokud chcete před tím zabránit, musíte sloupec promítat následujícím způsobem:project field1 = column_ifexists("field1","")
Další informace najdete tady:
- dotazovací jazyk Kusto Microsoft Sentinel
- Stručná referenční příručka ke KQL
- Osvědčené postupy pro dotazy dotazovací jazyk Kusto
Vylepšení upozornění
Pokud chcete, aby vaše upozornění zobrazila svá zjištění, aby byla okamžitě viditelná v incidentech a aby byla řádně sledována a prošetřena, použijte konfiguraci vylepšení upozornění, abyste zobrazili všechny důležité informace v výstrahách.
Toto vylepšení upozornění má další výhodu v prezentaci zjištění snadno viditelným a přístupným způsobem.
Existují tři typy vylepšení upozornění, která můžete nakonfigurovat:
- Mapování entit
- Vlastní podrobnosti
- Podrobnosti o upozornění (označované také jako dynamický obsah)
Mapování entit
Entity jsou hráči na obou stranách jakéhokoli příběhu útoku. Identifikace všech entit v upozornění je nezbytná pro detekci a prošetřování hrozeb. Aby bylo zajištěno, že Microsoft Sentinel identifikuje entity v nezpracovaných datech, musíte namapovat typy entit rozpoznané Microsoft Sentinel na pole ve výsledcích dotazu. Toto mapování integruje identifikované entity do pole Entity ve schématu upozornění.
Další informace o mapování entit a úplné pokyny najdete v tématu Mapování datových polí na entity v Microsoft Sentinel.
Vlastní podrobnosti
Ve výchozím nastavení jsou v incidentech viditelné jenom entity upozornění a metadata, aniž by se ve výsledcích dotazu zobrazovaly podrobné informace o nezpracovaných událostech. Pokud chcete ostatním polím z výsledků dotazu poskytnout okamžitý přehled o výstrahách a incidentech, definujte je jako vlastní podrobnosti. Microsoft Sentinel tyto vlastní podrobnosti integruje do pole ExtendedProperties ve vašich upozorněních, což způsobí, že se budou zobrazovat ve vašich upozorněních a ve všech incidentech vytvořených z těchto výstrah.
Další informace o zobrazení vlastních podrobností a úplné pokyny najdete v tématu Podrobnosti o vlastních událostech zařízení Surface ve výstrahách v Microsoft Sentinel.
Podrobnosti výstrahy
Toto nastavení umožňuje přizpůsobit jinak standardní vlastnosti upozornění podle obsahu různých polí v jednotlivých výstrahách. Tato přizpůsobení jsou integrovaná do pole ExtendedProperties ve vašich upozorněních. Můžete například přizpůsobit název nebo popis upozornění tak, aby obsahoval uživatelské jméno nebo IP adresu, která je součástí výstrahy.
Další informace o přizpůsobení podrobností upozornění a úplné pokyny najdete v tématu Přizpůsobení podrobností upozornění v Microsoft Sentinel.
Poznámka
Na portálu Microsoft Defender má na starosti modul korelace Defender XDR výhradně pojmenování incidentů, takže při vytváření incidentů z těchto výstrah se můžou přepsat všechny názvy výstrah, které jste přizpůsobili.
Plánování dotazů
Následující parametry určují, jak často se naplánované pravidlo spouští a jaké časové období kontroluje při každém spuštění.
| Nastavení | Chování |
|---|---|
| Spustit dotaz každý | Řídí interval dotazu: jak často se dotaz spouští. |
| Vyhledávací data z posledního | Určuje období zpětného vyhledávání: časové období pokryté dotazem. |
Povolený rozsah pro oba tyto parametry je od 5 minut do 14 dnů.
Interval dotazu musí být kratší nebo roven období zpětného vyhledávání. Pokud je kratší, období dotazu se překrývají, což může způsobit určité duplikování výsledků. Ověření pravidla ale neumožňuje nastavit interval delší, než je doba zpětného vyhledávání, protože by to vedlo k mezerám v pokrytí.
Nastavení Spustit , nyní ve verzi PREVIEW, umožňuje vytvořit pravidlo se stavem Povoleno, ale odložit jeho první spuštění na předem určené datum a čas. Toto nastavení je užitečné, pokud chcete načasovat provádění pravidel podle toho, kdy se očekává ingestování dat ze zdroje nebo kdy analytici SOC začínají pracovní den.
| Nastavení | Chování |
|---|---|
| Automaticky | Pravidlo se spustí poprvé hned po vytvoření a potom v intervalu nastaveném v nastavení Spustit dotaz po každém . |
| V určitém čase (Preview) | Nastavte datum a čas pro první spuštění pravidla, po kterém se spustí v intervalu nastaveném v nastavení Spustit dotaz po. |
Doba spuštění musí být mezi 10 minut a 30 dny po vytvoření (nebo povolení) pravidla.
Řádek textu v nastavení Spustit (s ikonou informací na levé straně) shrnuje aktuální nastavení plánování dotazů a zpětného vyhledávání.
Poznámka
Zpoždění příjmu dat
Aby bylo možné zohlednit latenci, ke které může dojít mezi generováním události ve zdroji a jejím příjmem do Microsoft Sentinel, a zajistit úplné pokrytí bez duplikování dat, Microsoft Sentinel spouští pravidla plánované analýzy s pětiminutovým zpožděním od naplánovaného času.
Další informace najdete v tématu Zpracování zpoždění příjmu dat v pravidlech plánované analýzy.
Prahová hodnota upozornění
Mnoho typů událostí zabezpečení je normálních nebo dokonce očekávaných v malém počtu, ale ve větším počtu jsou příznakem hrozby. Různé škály velkých čísel můžou znamenat různé druhy hrozeb. Například dva nebo tři neúspěšné pokusy o přihlášení během minuty jsou znamením, že si uživatel nepamatuje heslo, ale 50 za minutu může být znamením lidského útoku a tisíc je pravděpodobně automatizovaný útok.
V závislosti na typu aktivity, kterou se vaše pravidlo pokouší zjistit, můžete nastavit minimální počet událostí (výsledky dotazu) potřebných k aktivaci upozornění. Prahová hodnota se vztahuje na každé spuštění pravidla samostatně, ne najednou.
Prahovou hodnotu je také možné nastavit na maximální počet výsledků nebo přesné číslo.
Seskupení událostí
Existují dva způsoby, jak seskupit události do výstrah:
Seskupte všechny události do jediné výstrahy: Toto je výchozí nastavení. Pravidlo při každém spuštění vygeneruje jedno upozornění, pokud dotaz vrátí více výsledků, než je zadaná prahová hodnota upozornění vysvětlená v předchozí části. Tato jediná výstraha shrnuje všechny události vrácené ve výsledcích dotazu.
Aktivace upozornění pro každou událost: Pravidlo vygeneruje jedinečné upozornění pro každou událost (výsledek) vrácenou dotazem. Tento režim je užitečný, pokud chcete, aby se události zobrazovaly jednotlivě nebo pokud je chcete seskupit podle určitých parametrů – podle uživatele, názvu hostitele nebo něčeho jiného. Tyto parametry můžete definovat v dotazu.
Analytická pravidla můžou generovat až 150 upozornění. Pokud je seskupování událostí nastavené na Aktivovat upozornění pro každou událost a dotaz pravidla vrátí více než 150 událostí, vygeneruje prvních 149 událostí jedinečnou výstrahu (pro 149 výstrah) a 150. výstraha shrne celou sadu vrácených událostí. Jinými slovy, 150. výstraha by se vygenerovala, kdyby bylo seskupení událostí nastavené na Seskupit všechny události do jednoho upozornění.
Část Dotaz upozornění se v každém z těchto dvou režimů liší. V režimu Seskupit všechny události do jednoho režimu upozornění vrátí výstraha dotaz, který umožňuje zobrazit všechny události, které výstrahu aktivovaly. Pokud chcete zobrazit jednotlivé události, můžete přejít k podrobnostem výsledků dotazu. V okně Aktivovat výstrahu pro každý režim události vrátí výstraha výsledek v oblasti dotazu kódovaný jako base64. Zkopírujte a spusťte tento výstup v Log Analytics, který dekóduje base64 a zobrazí původní událost.
Nastavení Aktivovat upozornění pro každou událost může způsobit problém, kdy se zdá, že výsledky dotazu chybí nebo se liší, než se čekalo. Další informace o tomto scénáři najdete v tématu Řešení potíží s analytickými pravidly v Microsoft Sentinel | Problém: Ve výsledcích dotazu se nezobrazují žádné události.
Potlačení
Pokud chcete, aby toto pravidlo po určitou dobu přestalo fungovat po vygenerování výstrahy, zapněte možnost Zastavit spouštění dotazu po vygenerování upozorněnína Zapnuto. Pak musíte nastavit možnost Zastavit spouštění dotazu pro na dobu, po kterou má dotaz přestat běžet, a to až do 24 hodin.
Simulace výsledků
Průvodce analytickým pravidlem umožňuje otestovat jeho účinnost spuštěním na aktuální datové sadě. Při spuštění testu se v okně simulace výsledků zobrazí graf výsledků, které by dotaz vygeneroval za posledních 50krát, než by se spustil, podle aktuálně definovaného plánu. Pokud dotaz upravíte, můžete znovu spustit test a graf aktualizovat. Graf zobrazuje počet výsledků za definované časové období, který je určen plánem dotazu, který jste definovali.
Simulace výsledků dotazu na předchozím snímku obrazovky může vypadat takto. Levá strana je výchozí zobrazení a pravá strana je to, co vidíte, když najedete myší na bod v čase v grafu.
Pokud zjistíte, že dotaz aktivoval příliš mnoho nebo příliš časté výstrahy, můžete experimentovat s nastavením plánování a prahových hodnot a spustit simulaci znovu.
Nastavení incidentu
Zvolte, jestli Microsoft Sentinel změní výstrahy na incidenty s akcemi.
Vytváření incidentů je ve výchozím nastavení povolené. Microsoft Sentinel vytvoří jeden samostatný incident od každé výstrahy vygenerované pravidlem.
Pokud nechcete, aby toto pravidlo vedlo k vytvoření incidentů (například pokud má toto pravidlo jenom shromažďovat informace pro následnou analýzu), nastavte ho na Zakázáno.
Důležité
Pokud jste Microsoft Sentinel onboardovali na portálu Defender, Microsoft Defender zodpovídá za vytváření incidentů. Pokud ale chcete Defender XDR vytvářet incidenty pro tuto výstrahu, musíte toto nastavení ponechat povoleno. Defender XDR převezme zde definovanou instrukci.
Nezaměňujte to s analytickým pravidlem typu zabezpečení Microsoftu, které vytváří incidenty pro výstrahy generované ve službách Microsoft Defender. Tato pravidla se při onboardingu Microsoft Sentinel na portál Defender automaticky deaktivují.
Pokud chcete, aby se ze skupiny upozornění vytvořil jeden incident místo jednoho incidentu pro každou jednotlivou výstrahu, přečtěte si další část.
Seskupení výstrah
Zvolte, jestli se mají výstrahy seskupovat v incidentech. Ve výchozím nastavení Microsoft Sentinel vytvoří incident pro každou vygenerovanou výstrahu. Můžete místo toho seskupovat několik výstrah do jednoho incidentu.
Incident se vytvoří až po vygenerování všech výstrah. Všechny výstrahy se do incidentu přidají okamžitě po jeho vytvoření.
Do jednoho incidentu je možné seskupit až 150 výstrah. Pokud pravidlo, které je seskupí do jednoho incidentu, vygeneruje více než 150 výstrah, vygeneruje se nový incident se stejnými podrobnostmi incidentu jako původní a nadbytečné výstrahy se seskupí do nového incidentu.
Pokud chcete seskupit výstrahy dohromady, nastavte nastavení seskupení upozornění na Povoleno.
Při seskupování výstrah je potřeba zvážit několik možností:
Časový rámec: Ve výchozím nastavení se výstrahy vytvořené až 5 hodin po prvním upozornění v incidentu přidají do stejného incidentu. Po 5 hodinách se vytvoří nový incident. Toto časové období můžete změnit na 5 minut až sedm dní.
Kritéria seskupení: Zvolte, jak se mají určit, které výstrahy budou ve skupině zahrnuty. Následující tabulka uvádí možné volby:
Možnost Popis Pokud se všechny entity shodují, seskupte upozornění do jednoho incidentu. Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro každou z mapovaných entit definovaných dříve. Toto je doporučené nastavení. Seskupení všech výstrah aktivovaných tímto pravidlem do jednoho incidentu Všechna upozornění vygenerovaná tímto pravidlem jsou seskupené, i když nesdílejí žádné stejné hodnoty. Pokud se vybrané entity a podrobnosti shodují, seskupte výstrahy do jednoho incidentu. Výstrahy jsou seskupené, pokud sdílejí stejné hodnoty pro všechny namapované entity, podrobnosti výstrah a vlastní podrobnosti , které vyberete pro toto nastavení. V rozevíracích seznamech zvolte entity a podrobnosti, které se zobrazí, když vyberete tuto možnost.
Toto nastavení můžete chtít použít například v případě, že chcete vytvořit samostatné incidenty na základě zdrojové nebo cílové IP adresy nebo pokud chcete seskupit výstrahy, které odpovídají konkrétní entitě a závažnosti.
Poznámka: Když vyberete tuto možnost, musíte mít pro pravidlo vybranou aspoň jednu entitu nebo podrobnosti. V opačném případě se ověření pravidla nezdaří a pravidlo se nevytvořilo.Opětovné otevření incidentů: Pokud se incident vyřešil a zavřel a později se vygeneruje další výstraha, která by měla k tomuto incidentu patřit, nastavte toto nastavení na Povoleno , pokud chcete, aby se zavřený incident znovu otevřel, a pokud chcete, aby nová výstraha vytvořila nový incident, ponechte ho jako Zakázáno .
Možnost znovu otevřít uzavřené incidenty není k dispozici, pokud jste Microsoft Sentinel onboardovali na portálu Defender.
Automatizovaná odpověď
Microsoft Sentinel umožňuje nastavit automatické odpovědi tak, aby se vyskytly v případě, že:
- Toto analytické pravidlo vygeneruje upozornění.
- Incident se vytvoří z výstrah vygenerovaných tímto analytickým pravidlem.
- Incident se aktualizuje upozorněními vygenerovanými tímto analytickým pravidlem.
Informace o různých typech odpovědí, které je možné vytvořit a automatizovat, najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinel pomocí pravidel automatizace.
Pod nadpisem Pravidla automatizace zobrazí průvodce seznam už definovaných pravidel automatizace v celém pracovním prostoru, jejichž podmínky platí pro toto analytické pravidlo. Můžete upravit kterékoli z těchto existujících pravidel nebo můžete vytvořit nové pravidlo automatizace , které se vztahuje pouze na toto analytické pravidlo.
Pomocí pravidel automatizace můžete provádět základní třídění, přiřazení, pracovní postup a uzavření incidentů.
Automatizujte složitější úlohy a vyvolejte odpovědi ze vzdálených systémů za účelem nápravy hrozeb voláním playbooků z těchto pravidel automatizace. Playbooky můžete vyvolat pro incidenty i pro jednotlivá upozornění.
Další informace a pokyny k vytváření playbooků a pravidel automatizace najdete v tématu Automatizace reakcí na hrozby.
Další informace o tom, kdy použít trigger vytvořený incidentem, aktualizovaný trigger incidentu nebo vytvořený trigger výstrahy, najdete v tématu Použití triggerů a akcí v playbookech Microsoft Sentinel.
Pod nadpisem Automatizace upozornění (klasická) se může zobrazit seznam playbooků nakonfigurovaných tak, aby se automaticky spouštěly pomocí staré metody, které budou vyřazeny v březnu 2026. Do tohoto seznamu nemůžete nic přidat. Všechny playbooky uvedené tady by měly mít pravidla automatizace vytvořená na základě triggeru vytvořeného upozornění, která budou vyvolávat playbooky. Až to uděláte, vyberte tři tečky na konci řádku playbooku, který je tady uvedený, a vyberte Odebrat. Úplné pokyny najdete v tématu Migrace playbooků Microsoft Sentinel triggeru upozornění na pravidla automatizace.
Další kroky
Pokud používáte analytická pravidla Microsoft Sentinel k detekci hrozeb ve vašem prostředí, ujistěte se, že jste povolili všechna pravidla přidružená k připojeným zdrojům dat, abyste zajistili úplné zabezpečení vašeho prostředí.
Pokud chcete automatizovat povolení pravidel, nasdílení změn pravidel do Microsoft Sentinel prostřednictvím rozhraní API a PowerShellu, i když to vyžaduje větší úsilí. Pokud používáte rozhraní API nebo PowerShell, musíte před povolením pravidel nejprve exportovat pravidla do formátu JSON. Rozhraní API nebo PowerShell vám může pomoct při povolování pravidel ve více instancích Microsoft Sentinel se stejným nastavením v každé instanci.
Další informace najdete tady:
- Export a import analytických pravidel do šablon ARM a z šablon ARM
- Řešení potíží s analytickými pravidly v Microsoft Sentinel
- Navigace a vyšetřování incidentů v Microsoft Sentinel
- Entity v Microsoft Sentinel
- Kurz: Používání playbooků s pravidly automatizace v Microsoft Sentinel
Naučte se také z příkladu použití vlastních analytických pravidel při monitorování lupy pomocí vlastního konektoru.