Partager via

Migrer vos playbooks déclencheurs d’alerte Microsoft Sentinel vers des règles d’automatisation

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nous vous recommandons de migrer vos playbooks existants basés sur les déclencheurs d’alerte de manière à les empêcher d’être appelés par des règles d’analyse pour être plutôt appelés par des règles d’automatisation. Cet article explique pourquoi nous recommandons cette action et comment migrer vos playbooks.

Important

Microsoft Sentinel est disponible dans le portail Microsoft Defender, en tant qu’élément de la plateforme d’opérations de sécurité unifiée. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Pourquoi migrer ?

Les playbooks appelés par des règles d’automatisation au lieu de règles d’analyse présentent les avantages suivants :

  • Gestion de l’automatisation à partir d’un seul affichage, quel que soit le type (approche centralisée).

  • Utilisez une règle d’automatisation unique qui peut déclencher des playbooks pour plusieurs règles d’analyse, au lieu de configurer chaque règle d’analyse indépendamment.

  • Définissez l’ordre dans lequel les playbooks d’alerte doivent être exécutés.

  • Prise en charge des scénarios qui définissent une date d’expiration pour l’exécution d’un playbook.

La migration de votre déclencheur de playbook ne modifie pas du tout le playbook. Elle modifie uniquement le mécanisme qui appelle le playbook pour exécuter les modifications.

La possibilité d’appeler des playbooks à partir de règles d’analyse sera déconseillée à compter de mars 2026. D’ici là, les guides opérationnels déjà définis pour être appelés à partir de règles d’analyse continueront à s’exécuter, mais à partir de juin 2023, vous ne pourrez plus ajouter des playbooks à la liste de ceux appelés à partir de règles d’analyse. La seule option restante consiste à les appeler à partir de règles d’automatisation.

Prérequis

Vous devrez disposer des éléments suivants :

  • Le rôle Contributeur Logic Apps pour créer et modifier des playbooks

  • Le rôle Contributeur Microsoft Sentinel pour attacher un playbook à une règle d’automatisation

Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Créer une règle d’automatisation à partir d’une règle d’analyse

Utilisez cette procédure si vous migrez un playbook utilisé par une seule règle d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir de la page Automatisation.

  1. Pour Microsoft Sentinel dans le Portail Azure, sélectionnez la page Configuration>Analyse. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analyse.

  2. Sous Règles actives, recherchez une règle d’analyse déjà configurée pour exécuter un playbook, puis sélectionnez Modifier.

    Capture d'écran de la recherche et de la sélection d'une règle d'analyse.

  3. Sélectionnez l’onglet Réponse automatisée. Les playbooks directement configurés pour s’exécuter à partir de cette règle d’analyse se trouvent sous Automatisation des alertes (classique). Notez l’avertissement de dépréciation.

    Capture d'écran de l'écran des règles d'automatisation et des playbooks.

  4. Dans la moitié supérieure de l’écran, sélectionnez + Ajouter nouveau sous Règles d’automatisation pour créer une règle d’automatisation.

  5. Dans le panneau Créer une règle Automation, sous Déclencheur, sélectionnez Lors de la création d’une alerte.

    Capture d'écran de la création d'une règle d'automatisation dans l'écran des règles d'analyse.

  6. Sous Actions, vérifiez que l’action Exécuter le playbook , étant le seul type d’action disponible, est automatiquement sélectionnée et grisée. Sélectionnez votre playbook parmi ceux disponibles dans la liste déroulante dans la ligne ci-dessous.

    Capture d'écran de la sélection du playbook comme action dans l'assistant de règle d'automatisation.

  7. Sélectionnez Appliquer. La nouvelle règle s’affiche dans la grille des règles d’automatisation.

  8. Supprimez le playbook de la section Automatisation des alertes (classique).

  9. Passez en revue et mettez à jour la règle d’analyse pour enregistrer vos modifications.

Créer une règle d’automatisation à partir de la page Automatisation

Utilisez cette procédure si vous migrez un playbook utilisé par plusieurs règles d’analyse. Sinon, utilisez Créer une règle d’automatisation à partir d’une règle d’analyse

  1. Pour Microsoft Sentinel dans le Portail Azure, sélectionnez la page Configuration>Analyse. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Analyse.

  2. Dans la barre de menus supérieure, sélectionnez Créer -> Règle d’automatisation.

  3. Dans le panneau Créer une nouvelle règle d’automatisation, sous Déclencheur, sélectionnez Lors de la création d’une alerte.

  4. Sous Conditions, sélectionnez les règles d’analyse sur lesquelles vous souhaitez exécuter un playbook particulier ou un ensemble de playbooks.

  5. Sous Actions, pour chaque playbook que vous souhaitez appeler cette règle, sélectionnez + Ajouter une action. L’action Exécuter le playbook est automatiquement sélectionnée et grisée.

  6. Sélectionnez un playbook disponible dans la liste déroulante de la ligne ci-dessous. Organisez les actions en fonction de l’ordre dans lequel vous souhaitez que les playbooks s’exécutent en sélectionnant les flèches haut/bas en regard de chaque action.

  7. Sélectionnez Appliquer pour enregistrer la règle d’automatisation.

  8. Modifiez la règle d’analyse ou les règles qui ont appelé ces playbooks (les règles que vous avez spécifiées sous Conditions), en supprimant le playbook de la section Automatisation des alertes (classique) de l’onglet Réponse automatisée.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :