Migrer vos playbooks déclencheurs d’alerte Microsoft Sentinel vers des règles d’automatisation
Nous vous recommandons de migrer vos playbooks existants basés sur les déclencheurs d’alerte de manière à les empêcher d’être appelés par des règles d’analyse pour être plutôt appelés par des règles d’automatisation. Cet article explique pourquoi nous recommandons cette action et comment migrer vos playbooks.
Si vous migrez un playbook utilisé par une seule règle d’analyse, suivez les instructions sous Créer une règle d’automatisation à partir d’une règle d’analyse.
Si vous migrez un playbook utilisé par plusieurs règles d’analyse, suivez les instructions sous Créer une règle d’automatisation à partir de la page Automatisation.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Pourquoi migrer ?
Les playbooks appelés par des règles d’automatisation au lieu de règles d’analyse présentent les avantages suivants :
Gestion de l’automatisation à partir d’un seul affichage, quel que soit le type (approche centralisée).
Utilisez une règle d’automatisation unique qui peut déclencher des playbooks pour plusieurs règles d’analyse, au lieu de configurer chaque règle d’analyse indépendamment.
Définissez l’ordre dans lequel les playbooks d’alerte doivent être exécutés.
Prise en charge des scénarios qui définissent une date d’expiration pour l’exécution d’un playbook.
La migration de votre déclencheur de playbook ne modifie pas du tout le playbook. Elle modifie uniquement le mécanisme qui appelle le playbook pour exécuter les modifications.
La possibilité d’appeler des playbooks à partir de règles d’analyse sera déconseillée à compter de mars 2026. D’ici là, les guides opérationnels déjà définis pour être appelés à partir de règles d’analyse continueront à s’exécuter, mais à partir de juin 2023, vous ne pourrez plus ajouter des playbooks à la liste de ceux appelés à partir de règles d’analyse. La seule option restante consiste à les appeler à partir de règles d’automatisation.
Prérequis
Vous devrez disposer des éléments suivants :
Le rôle Contributeur Logic Apps pour créer et modifier des playbooks
Le rôle Contributeur Microsoft Sentinel pour attacher un playbook à une règle d’automatisation
Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.
Créer une règle d’automatisation à partir d’une règle d’analyse
Utilisez cette procédure si vous migrez un playbook utilisé par une seule règle d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir de la page Automatisation.
Pour Microsoft Sentinel dans le Portail Azure, sélectionnez la page Configuration>Analyse. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analyse.
Sous Règles actives, recherchez une règle d’analyse déjà configurée pour exécuter un playbook, puis sélectionnez Modifier.
Sélectionnez l’onglet Réponse automatisée. Les playbooks directement configurés pour s’exécuter à partir de cette règle d’analyse se trouvent sous Automatisation des alertes (classique). Notez l’avertissement de dépréciation.
Dans la moitié supérieure de l’écran, sélectionnez + Ajouter nouveau sous Règles d’automatisation pour créer une règle d’automatisation.
Dans le panneau Créer une règle Automation, sous Déclencheur, sélectionnez Lors de la création d’une alerte.
Sous Actions, vérifiez que l’action Exécuter le playbook , étant le seul type d’action disponible, est automatiquement sélectionnée et grisée. Sélectionnez votre playbook parmi ceux disponibles dans la liste déroulante dans la ligne ci-dessous.
Sélectionnez Appliquer. La nouvelle règle s’affiche dans la grille des règles d’automatisation.
Supprimez le playbook de la section Automatisation des alertes (classique).
Passez en revue et mettez à jour la règle d’analyse pour enregistrer vos modifications.
Créer une règle d’automatisation à partir de la page Automatisation
Utilisez cette procédure si vous migrez un playbook utilisé par plusieurs règles d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir d’une règle d’analyse
Pour Microsoft Sentinel dans le Portail Azure, sélectionnez la page Configuration>Analyse. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analyse.
Dans la barre de menus supérieure, sélectionnez Créer -> Règle d’automatisation.
Dans le panneau Créer une nouvelle règle d’automatisation, sous Déclencheur, sélectionnez Lors de la création d’une alerte.
Sous Conditions, sélectionnez les règles d’analyse sur lesquelles vous souhaitez exécuter un playbook particulier ou un ensemble de playbooks.
Sous Actions, pour chaque playbook que vous souhaitez appeler cette règle, sélectionnez + Ajouter une action. L’action Exécuter le playbook est automatiquement sélectionnée et grisée.
Sélectionnez un playbook disponible dans la liste déroulante de la ligne ci-dessous. Organisez les actions en fonction de l’ordre dans lequel vous souhaitez que les playbooks s’exécutent en sélectionnant les flèches haut/bas en regard de chaque action.
Sélectionnez Appliquer pour enregistrer la règle d’automatisation.
Modifiez la règle d’analyse ou les règles qui ont appelé ces playbooks (les règles que vous avez spécifiées sous Conditions), en supprimant le playbook de la section Automatisation des alertes (classique) de l’onglet Réponse automatisée.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :