Verstehen von Automatisierungsoptionen
Die Automatisierung nimmt in Microsoft Sentinel verschiedene Formen an, von Automatisierungsregeln, die die Automatisierung von Incidentbehandlung und -reaktionen zentral verwalten, bis hin zu Playbooks, die vordefinierte Aktionssequenzen ausführen, um leistungsstarke und flexible erweiterte Automatisierungsfunktionen für Ihre Aufgaben zur Reaktion auf Bedrohungen bereitzustellen.
Automatisierungsregeln
Automatisierungsregeln ermöglichen es Benutzern, die Automatisierung der Behandlung von Vorfällen zentral zu verwalten. Mithilfe von Automatisierungsregeln können Sie auch die Reaktionen für mehrere Analyseregeln gleichzeitig automatisieren. Sie können damit Incidents automatisch kennzeichnen, zuweisen oder schließen, ohne dass Playbooks erforderlich sind, und die Reihenfolge der ausgeführten Aktionen steuern. Automatisierungsregeln optimieren den Einsatz von Automatisierungen in Microsoft Sentinel und ermöglichen es Ihnen, komplexe Workflows für Ihre Incident-Orchestrierungsprozesse zu vereinfachen.
Playbooks
Ein Playbook ist eine Sammlung von Reaktions- und Problembehandlungsmaßnahmen und -logik, die von Microsoft Sentinel als Routine ausgeführt werden können. Ein Playbook kann Ihnen helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Es kann in andere interne und externe Systemen integriert oder so konfiguriert werden, dass es automatisch als Reaktion auf bestimmte Alarme oder Incidents ausgeführt wird, wenn es durch eine Analyse- bzw. Automatisierungsregel ausgelöst wird. Es kann auch manuell auf der Seite „Incidents“ als Reaktion auf Warnungen ausgeführt werden.
Playbooks in Microsoft Sentinel basieren auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Dies bedeutet, dass Playbooks von der Leistungsfähigkeit und der Anpassbarkeit der Integrations- und Orchestrierungsfunktionen von Logic Apps und den benutzerfreundlichen Entwurfstools sowie der Skalierbarkeit, der Zuverlässigkeit und dem Servicelevel eines Tarif 1-Azure-Diensts profitieren können.