A Microsoft Sentinel riasztás-trigger forgatókönyveinek migrálása automatizálási szabályokba

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan (és miért) hozhatja létre a riasztási eseményindítóra épülő meglévő forgatókönyveket, és migrálhatja őket az elemzési szabályok által meghívottakról az automatizálási szabályok meghívására.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Miért migráljuk?

Ha már létrehozott és létrehozott forgatókönyveket a riasztásokra való reagáláshoz (incidensek helyett), és az elemzési szabályokhoz csatolta őket, határozottan javasoljuk, hogy ezeket a forgatókönyveket helyezze át automatizálási szabályokra. Ezzel a következő előnyökkel jár:

• Az összes automatizálás kezelése egyetlen kijelzőről, típustól függetlenül
  ("egyablakos üveg").

• Definiáljon egyetlen automatizálási szabályt, amely forgatókönyveket aktiválhat több elemzési szabályhoz ahelyett, hogy egymástól függetlenül konfigurálja az egyes elemzési szabályokat.

• Határozza meg a riasztási forgatókönyvek végrehajtásának sorrendjét.

• Olyan támogatási forgatókönyvek, amelyek egy forgatókönyv futtatásának lejárati dátumát állítják be.

Fontos megérteni, hogy maga a forgatókönyv egyáltalán nem változik. Csak az a mechanizmus változik, amely meghívja a futtatásra.

Végül 2026 márciusától megszűnik a forgatókönyvek elemzési szabályokból való meghívásának lehetősége. Addig is futnak az elemzési szabályokból meghívandó forgatókönyvek, de 2023 júniusától már nem lehet forgatókönyveket hozzáadni az elemzési szabályokból meghívottak listájához. Az egyetlen fennmaradó lehetőség az automatizálási szabályokból való meghívás.

Migrálási eljárás

• Ha csak egy elemzési szabály által használt forgatókönyvet migrál, kövesse az automatizálási szabály létrehozása elemzési szabályból című témakör utasításait.

• Ha több elemzési szabály által használt forgatókönyvet migrál, kövesse az Automation Portál új automatizálási szabályának létrehozása című témakör utasításait.

Automatizálási szabály létrehozása elemzési szabályból

1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Analytics lapot. A Defender portálOn a Microsoft Sentinel esetében válassza a Microsoft Sentinel>Configuration>Analytics lehetőséget.

2. Az Aktív szabályok területen keressen egy olyan elemzési szabályt, amely már konfigurálva van egy forgatókönyv futtatására.

3. Válassza a Szerkesztés lehetőséget.

   

4. Válassza az Automatikus válasz fület .

5. Az ebből az elemzési szabályból való futtatásra konfigurált forgatókönyvek a Riasztás automatizálása (klasszikus) területen találhatók. Figyelje meg az elavulással kapcsolatos figyelmeztetést.

   

6. Új automatizálási szabály létrehozásához válassza a + Új hozzáadása az Automation-szabályok alatt (a képernyő felső felében) lehetőséget.

7. Az Új automatizálási szabály létrehozása panel Eseményindító területén válassza a Riasztás létrehozásakor lehetőséget.

   

8. A Műveletek területen ellenőrizze, hogy a Forgatókönyv futtatása művelet, amely az egyetlen elérhető művelettípus, automatikusan ki van jelölve és szürkén jelenik meg. Válassza ki a forgatókönyvet az alábbi sor legördülő listájából.

   

9. Válassza az Alkalmazás lehetőséget. Ekkor megjelenik az új szabály az automatizálási szabályok rácsában.

10. Távolítsa el a forgatókönyvet a Riasztás automatizálása (klasszikus) szakaszból.

11. Tekintse át és frissítse az elemzési szabályt a módosítások mentéséhez.

Új automatizálási szabály létrehozása az Automation Portálról

1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Analytics lapot. A Defender portálOn a Microsoft Sentinel esetében válassza a Microsoft Sentinel>Configuration>Analytics lehetőséget.

2. A felső menüsávon válassza a Létrehozás –> Automation szabályt.

3. Az Új automatizálási szabály létrehozása panel Eseményindító legördülő menüjében válassza a Riasztás létrehozásakor lehetőséget.

4. A Feltételek területen válassza ki azokat az elemzési szabályokat, amelyeken egy adott forgatókönyvet vagy forgatókönyv-készletet szeretne futtatni.

5. A Műveletek területen minden olyan forgatókönyv esetében, amelyet meg szeretne hívni, válassza a + Művelet hozzáadása lehetőséget. A forgatókönyv futtatása művelet automatikusan ki lesz jelölve és szürkítve jelenik meg. Válasszon az elérhető forgatókönyvek listájából az alábbi sor legördülő listájában. A műveleteket annak megfelelően rendezze el, hogy milyen sorrendben futtassa a forgatókönyveket. A műveletek sorrendjét az egyes műveletek melletti fel-le nyíllal módosíthatja.

6. Az Automatizálási szabály mentéséhez válassza az Alkalmaz lehetőséget.

7. Szerkessze a forgatókönyveket meghívó elemzési szabályt vagy szabályokat (a Feltételek területen megadott szabályokat), és távolítsa el a forgatókönyvet az Automatikus válasz lap Riasztásautomatizálás (klasszikus) szakaszából.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan migrálhat forgatókönyveket a riasztási eseményindító alapján az elemzési szabályokból az automatizálási szabályokba.

• Az automatizálási szabályokkal kapcsolatos további információkért lásd : Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal
• Az automatizálási szabályok létrehozásáról a Microsoft Sentinel automatizálási szabályainak létrehozása és használata a válasz kezeléséhez című témakörben olvashat
• A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
• Az automatizálási szabályok és forgatókönyvek implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.