Partage via

Migrer vos playbooks déclencheurs d’alerte Microsoft Sentinel vers des règles d’automatisation

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nous vous recommandons de migrer des playbooks existants basés sur des déclencheurs d’alerte et de passer de leur appel par des règles d’analyse à leur appel par des règles d’automatisation. Cet article explique pourquoi nous recommandons cette action et comment migrer vos playbooks.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Pourquoi migrer ?

Les playbooks appelés par des règles d’automatisation au lieu de règles d’analyse présentent les avantages suivants :

  • Gestion de l’automatisation à partir d’un seul affichage, quel que soit le type (approche centralisée).

  • Utilisez une règle d’automatisation unique qui peut déclencher des playbooks pour plusieurs règles d’analyse, au lieu de configurer chaque règle d’analyse indépendamment.

  • Définissez l’ordre dans lequel les playbooks d’alerte doivent être exécutés.

  • Prise en charge des scénarios qui définissent une date d’expiration pour l’exécution d’un playbook.

La migration de votre déclencheur de playbook ne modifie pas du tout le playbook. Elle modifie uniquement le mécanisme qui appelle le playbook pour exécuter les modifications.

La possibilité d’appeler des playbooks à partir de règles d’analyse sera déconseillée à compter de mars 2026. Jusqu’à présent, les playbooks déjà définis à partir de règles d’analytique continueront à s’exécuter, mais à compter de juin 2023 , vous ne pouvez plus ajouter de playbooks à la liste des playbooks appelés à partir de règles d’analyse. La seule option restante consiste à les appeler à partir de règles d’automatisation.

Prérequis

Vous devrez disposer des éléments suivants :

  • Le rôle Contributeur Logic Apps pour créer et modifier des playbooks

  • Le rôle Contributeur Microsoft Sentinel pour attacher un playbook à une règle d’automatisation

Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Créer une règle d’automatisation à partir d’une règle d’analyse

Utilisez cette procédure si vous migrez un playbook utilisé par une seule règle d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir de la page Automation.

  1. Pour Microsoft Sentinel dans le portail Azure, sélectionnez la page Configuration>Analytics . Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analytics.

  2. Sous Règles actives, recherchez une règle d’analytique déjà configurée pour exécuter un playbook, puis sélectionnez Modifier.

    Capture d’écran de la recherche et de la sélection d’une règle d’analyse.

  3. Sélectionnez l’onglet Réponse automatisée . Les playbooks directement configurés pour s’exécuter à partir de cette règle d’analyse se trouvent sous Automatisation des alertes (classique) . Notez l’avertissement de dépréciation.

    Capture d’écran des règles d’automatisation et des livres de procédures.

  4. Dans la moitié supérieure de l’écran, sélectionnez + Ajouter de nouveaux sous règles Automation pour créer une règle d’automatisation.

  5. Dans le panneau Créer une règle Automation , sous Déclencheur, sélectionnez Lorsque l’alerte est créée.

    Capture d’écran de la création d’une règle d'automatisation sur l’écran de règles analytiques.

  6. Sous Actions, notez que l'option Exécuter le playbook, étant le seul type d'action disponible, est sélectionnée automatiquement et est désactivée. Sélectionnez votre playbook parmi ceux disponibles dans le menu déroulant dans la ligne du dessous.

    Capture d'écran de la sélection du playbook comme action dans l'assistant de règle d'automatisation.

  7. Sélectionnez Appliquer. La nouvelle règle s’affiche dans la grille des règles d’automatisation.

  8. Supprimez le playbook de la section Automatisation des alertes (classique).

  9. Passez en revue et mettez à jour la règle d’analyse pour enregistrer vos modifications.

Créer une règle d’automatisation à partir de la page Automatisation

Utilisez cette procédure si vous migrez un playbook utilisé par plusieurs règles d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir d’une règle d’analyse

  1. Pour Microsoft Sentinel dans le portail Azure, sélectionnez la page Configuration>Analytics . Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analytics.

  2. Dans la barre de menus supérieure, sélectionnez Créer -> Règle Automation.

  3. Dans le panneau Créer une règle Automation , dans la liste déroulante Déclencheur , sélectionnez Lorsque l’alerte est créée.

  4. Sous Conditions, sélectionnez les règles d’analyse sur lesquelles vous souhaitez exécuter un playbook particulier ou un ensemble de playbooks.

  5. Sous Actions, pour chaque playbook que vous souhaitez que cette règle invoque, sélectionnez + Ajouter une action. L’action Exécuter le playbook est automatiquement sélectionnée et grisée.

  6. Sélectionnez un playbook disponible dans la liste déroulante de la ligne ci-dessous. Organisez les actions en fonction de l’ordre dans lequel vous souhaitez que les playbooks s’exécutent en sélectionnant les flèches haut/bas en regard de chaque action.

  7. Sélectionnez Appliquer pour enregistrer la règle d'automatisation.

  8. Modifiez la règle d’analyse ou les règles qui ont appelé ces playbooks (les règles que vous avez spécifiées sous Conditions), en supprimant le playbook de la section Automatisation des alertes (classique) de l’onglet Réponse automatisée .

Contenu connexe

Pour plus d’informations, consultez l’article suivant :