Condividi tramite

Eseguire la migrazione dei playbook di attivazione degli avvisi di Microsoft Sentinel alle regole di automazione

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

È consigliabile eseguire la migrazione dei playbook esistenti basati sui trigger di avviso in modo che siano richiamati da regole di automazione invece che da regole di analisi. Questo articolo spiega perché è consigliabile eseguire questa azione e come eseguire la migrazione dei playbook.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Perché eseguire la migrazione

I playbook richiamati dalle regole di automazione anziché dalle regole di analisi presentano i vantaggi seguenti:

  • Gestione dell'automazione da un singolo display, indipendentemente dal tipo ("interfaccia unificata").

  • Usare una singola regola di automazione che attiva playbook per più regole di analisi, invece di configurare ogni regola di analisi separatamente.

  • Definire l'ordine in cui devono essere eseguiti i playbook di avviso.

  • Supporto per gli scenari che impostano una data di scadenza per l'esecuzione di un playbook.

La migrazione del trigger del playbook non modifica affatto il playbook, ma modifica solo il meccanismo che richiama il playbook per eseguire le modifiche.

La possibilità di richiamare playbook dalle regole di analisi sarà deprecata a partire da marzo 2026. Fino ad allora, i playbook già definiti come dalle regole di analisi continueranno a essere eseguiti, ma a partire da giugno 2023 non sarà più possibile aggiungere playbook all'elenco di quelli richiamati dalle regole di analisi. L'unica opzione rimanente consiste nel richiamarli dalle regole di automazione.

Prerequisiti

Sarà necessario quanto segue:

  • Ruolo di collaboratore di app per la logica per creare e modificare playbook

  • Ruolo di collaboratore di Microsoft Sentinel per collegare un playbook a una regola di automazione

Per altre informazioni, vedere Prerequisiti dei playbook Microsoft Sentinel.

Creare una regola di automazione da una regola di analisi

Usare questa procedura se si esegue la migrazione di un playbook usato da una sola regola di analisi. In caso contrario, usare Creare una nuova regola di automazione dalla pagina Automazione.

  1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Analisi. Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Analisi.

  2. In Regole attive, individuare una regola di analisi già configurata per eseguire un playbook e selezionare Modifica.

    Screenshot della ricerca e della selezione di una regola di analisi.

  3. Selezionare la scheda Risposta automatica. I playbook configurati direttamente per l'esecuzione da questa regola di analisi sono disponibili in Automazione avvisi (versione classica). Si noti l'avviso relativo alla deprecazione.

    Screenshot delle regole di automazione e della schermata dei playbook.

  4. Nella parte superiore della schermata, selezionare + Aggiungi nuovo in Regole di automazione per creare una nuova regola di automazione.

  5. Nel pannello Crea nuova regola di automazione, in Trigger, selezionare Quando viene creato un avviso.

    Screenshot della creazione di una regola di automazione nella schermata delle regole di analisi.

  6. In Azioni, si noti che l'azione Esegui playbook, essendo l'unico tipo di azione disponibile, viene selezionata automaticamente e disattivata. Selezionare il playbook da quelli disponibili nell'elenco a discesa nella riga seguente.

    Screenshot della selezione del playbook come azione nella procedura guidata della regola di automazione.

  7. Selezionare Applica. La nuova regola viene visualizzata nella griglia delle regole di automazione.

  8. Rimuovere il playbook dalla sezione Automazione avvisi (versione classica).

  9. Esaminare e aggiornare la regola di analisi per salvare le modifiche.

Creare una nuova regola di automazione dalla pagina Automazione

Usare questa procedura se si esegue la migrazione di un playbook usato da più regole di analisi. In caso contrario, usare Creare una regola di automazione da una regola di analisi

  1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Analisi. Per Microsoft Sentinel, nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Analisi.

  2. Nella barra dei menu in alto, selezionare Crea -> Regola di automazione.

  3. Nel pannello Crea nuova regola di automazione, in Trigger, selezionare Quando viene creato un avviso.

  4. In Condizioni, selezionare le regole di analisi in cui si vuole eseguire un playbook specifico o un set di playbook.

  5. In Azioni, per ogni playbook che si vuole far richiamare da questa regola, selezionare + Aggiungi azione. L'azione Esegui playbook viene selezionata automaticamente e disattivata.

  6. Selezionare dall'elenco dei playbook disponibili nell'elenco a discesa nella riga seguente. Ordinare le azioni in base all'ordine in cui si desidera che i playbook vengano eseguiti utilizzando le frecce su/giù accanto a ogni azione.

  7. Selezionare Applica per salvare la regola di automazione.

  8. Modificare la regola o le regole di analisi che hanno richiamato questi playbook (le regole specificate in Condizioni), rimuovendo il playbook dalla sezione Automazione avvisi (versione classica) della scheda Risposta automatica.

Contenuto correlato

Per altre informazioni, vedi: