Megosztás a következőn keresztül:

A Microsoft Sentinel riasztás-trigger forgatókönyveinek migrálása automatizálási szabályokba

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Azt javasoljuk, hogy a riasztási triggerekre épülő meglévő forgatókönyveket migrálja, és migrálja őket az elemzési szabályok által meghívottakról az automatizálási szabályok meghívására. Ez a cikk bemutatja, miért javasoljuk ezt a műveletet, és hogyan migrálhatja a forgatókönyveket.

  • Ha csak egy elemzési szabály által használt forgatókönyvet migrál, kövesse az automatizálási szabály létrehozása elemzési szabályból című témakör utasításait.

  • Ha több elemzési szabály által használt forgatókönyvet migrál, kövesse a Create a new automation rule from the Automation page (Új automatizálási szabály létrehozása) című témakör utasításait.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Miért migráljuk?

Az automatizálási szabályok által az elemzési szabályok helyett meghívott forgatókönyvek a következő előnyökkel járnak:

  • Automatizálási felügyelet egyetlen kijelzőről, típustól függetlenül ("egy üvegablak").

  • Használjon egyetlen automatizálási szabályt, amely forgatókönyveket aktivál több elemzési szabályhoz ahelyett, hogy külön konfigurálja az egyes elemzési szabályokat.

  • Határozza meg a riasztási forgatókönyvek végrehajtásának sorrendjét.

  • Olyan forgatókönyvek támogatása, amelyek lejárati dátumot határoznak meg egy forgatókönyv futtatásához.

A forgatókönyv-eseményindító migrálása egyáltalán nem változtatja meg a forgatókönyvet, és csak a forgatókönyvet a módosítások futtatására meghívó mechanizmust módosítja.

A forgatókönyvek elemzési szabályokból való meghívásának lehetősége 2026 márciusától megszűnik. Addig is folytatódnak az elemzési szabályok alapján definiált forgatókönyvek, de 2023 júniusától már nem lehet forgatókönyveket hozzáadni az elemzési szabályokból meghívottak listájához. Az egyetlen fennmaradó lehetőség az automatizálási szabályokból való meghívás.

Előfeltételek

A következőkre lesz szüksége:

  • Logikai alkalmazások közreműködői szerepköre forgatókönyvek létrehozásához és szerkesztéséhez

  • A Microsoft Sentinel közreműködői szerepköre forgatókönyv automatizálási szabályhoz való csatolásához

További információ: Microsoft Sentinel forgatókönyv előfeltételei.

Automatizálási szabály létrehozása elemzési szabályból

Ezt az eljárást akkor használja, ha olyan forgatókönyvet migrál, amelyet csak egy elemzési szabály használ. Ellenkező esetben az Automation lapon hozzon létre egy új automatizálási szabályt.

  1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Analytics lapot. A Defender portálOn a Microsoft Sentinel esetében válassza a Microsoft Sentinel>Configuration>Analytics lehetőséget.

  2. Az Aktív szabályok területen keresse meg a forgatókönyv futtatására konfigurált elemzési szabályt, és válassza a Szerkesztés lehetőséget.

    Képernyőkép egy elemzési szabály megkereséséről és kiválasztásáról.

  3. Válassza az Automatikus válasz fület. Az elemzési szabályból való futtatásra konfigurált forgatókönyvek a Riasztás automatizálása (klasszikus) területen találhatók. Figyelje meg az elavulással kapcsolatos figyelmeztetést.

    Képernyőkép az automatizálási szabályokról és a forgatókönyvek képernyőről.

  4. A képernyő felső felében válassza az + Új hozzáadása az Automation-szabályok alatt lehetőséget egy új automatizálási szabály létrehozásához.

  5. Az Új automatizálási szabály létrehozása panel Eseményindító területén válassza a Riasztás létrehozásakor lehetőséget.

    Képernyőkép az automatizálási szabály létrehozásáról az elemzési szabály képernyőjén.

  6. A Műveletek területen ellenőrizze, hogy a Forgatókönyv futtatása művelet, amely az egyetlen elérhető művelettípus, automatikusan ki van jelölve és szürkén jelenik meg. Válassza ki a forgatókönyvet az alábbi sor legördülő listájából.

    Képernyőkép a forgatókönyv műveletként való kiválasztásáról az Automatizálási szabály varázslóban.

  7. Válassza az Alkalmazás lehetőséget. Az új szabály megjelenik az automatizálási szabályok rácsában.

  8. Távolítsa el a forgatókönyvet a Riasztás automatizálása (klasszikus) szakaszból.

  9. Tekintse át és frissítse az elemzési szabályt a módosítások mentéséhez.

Új automatizálási szabály létrehozása az Automation oldalról

Ezt az eljárást akkor használja, ha több elemzési szabály által használt forgatókönyvet migrál. Ellenkező esetben az automatizálási szabály létrehozása elemzési szabályból

  1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Analytics lapot. A Defender portálOn a Microsoft Sentinel esetében válassza a Microsoft Sentinel>Configuration>Analytics lehetőséget.

  2. A felső menüsávon válassza a Létrehozás –> Automation szabályt.

  3. Az Új automatizálási szabály létrehozása panel Eseményindító legördülő menüjében válassza a Riasztás létrehozásakor lehetőséget.

  4. A Feltételek területen válassza ki azokat az elemzési szabályokat, amelyeken egy adott forgatókönyvet vagy forgatókönyv-készletet szeretne futtatni.

  5. A Műveletek területen minden olyan forgatókönyv esetében, amelyet meg szeretne hívni, válassza a + Művelet hozzáadása lehetőséget. A forgatókönyv futtatása művelet automatikusan ki van jelölve, és kiszürkítve jelenik meg.

  6. Válasszon az elérhető forgatókönyvek listájából az alábbi sor legördülő listájában. A műveleteket a forgatókönyvek futtatásának sorrendjének megfelelően rendezheti az egyes műveletek melletti fel/le nyíllal.

  7. Az Automatizálási szabály mentéséhez válassza az Alkalmaz lehetőséget.

  8. Szerkessze a forgatókönyveket meghívó elemzési szabályt vagy szabályokat (a Feltételek területen megadott szabályokat), és távolítsa el a forgatókönyvet az Automatikus válasz lap Riasztásautomatizálás (klasszikus) szakaszából.

Kapcsolódó tartalom

További információk: