Memigrasikan playbook pemicu pemberitahuan Microsoft Sentinel Anda ke aturan otomatisasi

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Kami menyarankan agar Anda memigrasikan playbook yang ada yang dibangun berdasarkan pemicu pemberitahuan dan memigrasikannya agar tidak dipanggil oleh aturan analitik untuk dipanggil oleh aturan otomatisasi. Artikel ini menjelaskan mengapa kami merekomendasikan tindakan ini, dan cara memigrasikan playbook Anda.

• Jika Anda memigrasikan playbook yang hanya digunakan oleh satu aturan analitik, ikuti instruksi di bawah Buat aturan otomatisasi dari aturan analitik.

• Jika Anda memigrasikan playbook yang digunakan oleh beberapa aturan analitik, ikuti instruksi di bawah Buat aturan otomatisasi baru dari halaman Automation.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mengapa bermigrasi

Playbook yang dipanggil oleh aturan otomatisasi alih-alih aturan analitik memiliki keuntungan berikut:

• Manajemen otomatisasi dari satu tampilan, terlepas dari jenisnya ("panel kaca tunggal").

• Gunakan aturan otomatisasi tunggal yang memicu playbook untuk beberapa aturan analitik, alih-alih mengonfigurasi setiap aturan analitik secara terpisah.

• Tentukan urutan di mana playbook pemberitahuan akan dijalankan.

• Dukungan untuk skenario yang menetapkan tanggal kedaluwarsa untuk menjalankan playbook.

Migrasi pemicu playbook Anda tidak mengubah playbook sama sekali, dan hanya mengubah mekanisme yang memanggil playbook untuk menjalankan perubahan.

Kemampuan untuk memanggil playbook dari aturan analitik akan ditolak efektif Maret 2026. Sampai saat itu, playbook yang sudah didefinisikan sebagai dari aturan analitik akan terus berjalan, tetapi per Juni 2023 Anda tidak dapat lagi menambahkan playbook ke daftar yang dipanggil dari aturan analitik. Satu-satunya opsi yang tersisa adalah memanggilnya dari aturan otomatisasi.

Prasyarat

Anda akan membutuhkan:

• Peran Kontributor Logic Apps untuk membuat dan mengedit playbook

• Peran Kontributor Microsoft Azure Sentinel untuk melampirkan playbook ke aturan otomatisasi

Untuk informasi selengkapnya, lihat Prasyarat playbook Microsoft Azure Sentinel.

Buat aturan otomatisasi dari aturan analitik

Gunakan prosedur ini jika Anda memigrasikan playbook yang hanya digunakan oleh satu aturan analitik. Jika tidak, gunakan Buat aturan otomatisasi baru dari halaman Automation.

1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Analitik Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Microsoft Sentinel>Configuration>Analytics.

2. Di bawah Aturan aktif, temukan aturan analitik yang sudah dikonfigurasi untuk menjalankan playbook, dan pilih Edit.

   

3. Pilih tab Respons otomatis. Playbook yang dikonfigurasi langsung untuk dijalankan dari aturan analitik ini dapat ditemukan di bawah Otomatisasi pemberitahuan (klasik). Perhatikan peringatan tentang penghentian.

   

4. Di bagian atas layar, pilih + Tambahkan baru di bawah Aturan automasi untuk membuat aturan otomatisasi baru.

5. Di panel Buat aturan otomatisasi baru, di bawah Pemicu, pilih Saat pemberitahuan dibuat.

   

6. Pada Tindakan, lihat bahwa tindakan Jalankan playbook, sebagai satu-satunya jenis tindakan yang tersedia, dipilih secara otomatis dan berwarna abu-abu. Pilih playbook Anda dari yang tersedia di daftar drop-down di baris di bawah ini.

   

7. Pilih Terapkan. Aturan baru ditampilkan di kisi aturan otomatisasi.

8. Hapus playbook dari bagian Otomatisasi pemberitahuan (klasik).

9. Tinjau dan perbarui aturan analitik untuk menyimpan perubahan Anda.

Membuat aturan otomatisasi baru dari halaman Automation

Gunakan prosedur ini jika Anda memigrasikan playbook yang digunakan oleh beberapa aturan analitik. Jika tidak, gunakan Buat aturan otomatisasi dari aturan analitik

1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Analitik Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Microsoft Sentinel>Configuration>Analytics.

2. Dari bilah menu atas, pilih Buat -> Aturan otomatisasi.

3. Di panel Buat aturan otomatisasi baru, di menu drop-down Pemicu , pilih Saat pemberitahuan dibuat.

4. Pada Syarat, pilih aturan analitik tempat Anda ingin menjalankan playbook tertentu atau sekumpulan playbook.

5. Pada Tindakan, untuk setiap playbook yang Anda inginkan untuk dipanggil aturan ini, pilih + Tambahkan tindakan. Tindakan Jalankan playbook dipilih secara otomatis dan berwarna abu-abu.

6. Pilih dari daftar playbook yang tersedia di daftar drop-down pada baris di bawah ini. Urutkan tindakan sesuai dengan urutan yang Anda inginkan untuk dijalankan playbook dengan memilih panah atas/bawah di samping setiap tindakan.

7. Pilih Terapkan untuk menyimpan aturan otomatisasi.

8. Edit aturan analitik atau aturan yang memanggil playbook ini (aturan yang Anda tentukan pada Syarat), menghapus playbook dari bagian Otomatisasi pemberitahuan (klasik) dari tab Respons otomatis.

Konten terkait

Untuk informasi selengkapnya, lihat:

• Mengotomatiskan respons ancaman di Microsoft Azure Sentinel dengan aturan otomatisasi
• Mengautentikasi playbook ke Microsoft Azure Sentinel
• Membuat dan mengelola playbook Microsoft Azure Sentinel