Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji
W tym artykule wyjaśniono, jak (i dlaczego) korzystać z istniejących podręczników utworzonych na wyzwalaczu alertu i migrować je z wywoływanych przez reguły analizy do wywoływanych przez reguły automatyzacji.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Dlaczego warto przeprowadzić migrację
Jeśli już utworzono i utworzono podręczniki do reagowania na alerty (a nie zdarzenia) i dołączono je do reguł analizy, zdecydowanie zachęcamy do przeniesienia tych podręczników do reguł automatyzacji. W ten sposób uzyskasz następujące korzyści:
Zarządzanie wszystkimi automatyzacjami na podstawie jednego wyświetlacza, niezależnie od typu
("pojedyncze okienko szkła").Zdefiniuj pojedynczą regułę automatyzacji, która może wyzwalać podręczniki dla wielu reguł analizy, zamiast konfigurować niezależnie każdą regułę analizy.
Zdefiniuj kolejność wykonywania podręczników alertów.
Scenariusze obsługi, które ustawiają datę wygaśnięcia dla uruchamiania podręcznika.
Ważne jest, aby zrozumieć, że podręcznik nie zmieni się w ogóle. Zmieni się tylko mechanizm, który wywołuje go do uruchomienia.
Na koniec możliwość wywoływania podręczników z reguł analizy będzie przestarzała od marca 2026 r. Do tego czasu podręczniki już zdefiniowane do wywołania z reguł analizy będą nadal działać, ale od czerwca 2023 r. nie można już dodawać podręczników do listy elementów wywoływanych z reguł analizy. Jedyną pozostałą opcją jest wywołanie ich z reguł automatyzacji.
Jak przeprowadzić migrację
Jeśli migrujesz podręcznik używany tylko przez jedną regułę analizy, postępuj zgodnie z instrukcjami w sekcji Tworzenie reguły automatyzacji na podstawie reguły analizy.
Jeśli migrujesz podręcznik używany przez więcej niż jedną regułę analizy, postępuj zgodnie z instrukcjami w sekcji Tworzenie nowej reguły automatyzacji z portalu usługi Automation.
Tworzenie reguły automatyzacji na podstawie reguły analizy
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>
W obszarze Aktywne reguły znajdź regułę analizy skonfigurowaną do uruchamiania podręcznika.
Zaznacz Edytuj.
Wybierz kartę Automatyczna odpowiedź .
Podręczniki skonfigurowane bezpośrednio do uruchamiania z tej reguły analitycznej można znaleźć w obszarze Automatyzacja alertów (wersja klasyczna). Zwróć uwagę na ostrzeżenie o wycofaniu.
Wybierz pozycję + Dodaj nowy w obszarze Reguły automatyzacji (w górnej połowie ekranu), aby utworzyć nową regułę automatyzacji.
W panelu Tworzenie nowej reguły automatyzacji w obszarze Wyzwalacz wybierz pozycję Po utworzeniu alertu.
W obszarze Akcje sprawdź, czy akcja Uruchom podręcznika , będąca jedynym dostępnym typem akcji, jest automatycznie zaznaczona i wyszarana. Wybierz element playbook z tych, które są dostępne na liście rozwijanej w poniższym wierszu.
Wybierz Zastosuj. Nowa reguła będzie teraz widoczna w siatce reguł automatyzacji.
Usuń podręcznik z sekcji Automatyzacja alertów (wersja klasyczna).
Przejrzyj i zaktualizuj regułę analizy, aby zapisać zmiany.
Tworzenie nowej reguły automatyzacji w portalu usługi Automation
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>
Na górnym pasku menu wybierz pozycję Utwórz —> reguła automatyzacji.
Na panelu Tworzenie nowej reguły automatyzacji na liście rozwijanej Wyzwalacz wybierz pozycję Po utworzeniu alertu.
W obszarze Warunki wybierz reguły analizy, dla których chcesz uruchomić określony podręcznik lub zestaw podręczników.
W obszarze Akcje dla każdego podręcznika, który ma zostać wywołany, wybierz pozycję + Dodaj akcję. Akcja Uruchom element playbook zostanie automatycznie wybrana i wyszaryzowana. Wybierz z listy dostępnych podręczników na liście rozwijanej w poniższym wierszu. Zamów akcje zgodnie z kolejnością, w której podręczniki mają być uruchamiane. Kolejność akcji można zmienić, wybierając strzałki w górę/w dół obok każdej akcji.
Wybierz pozycję Zastosuj , aby zapisać regułę automatyzacji.
Edytuj regułę analizy lub reguły, które wywołały te podręczniki (reguły określone w obszarze Warunki), usuwając podręcznik z sekcji Automatyzacja alertów (wersja klasyczna) na karcie Automatyczna odpowiedź .
Następne kroki
W tym dokumencie przedstawiono sposób migrowania podręczników na podstawie wyzwalacza alertu z reguł analizy do reguł automatyzacji.
- Aby dowiedzieć się więcej o regułach automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
- Aby utworzyć reguły automatyzacji, zobacz Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania odpowiedzią
- Aby dowiedzieć się więcej na temat zaawansowanych opcji automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
- Aby uzyskać pomoc dotyczącą implementowania reguł automatyzacji i podręczników, zobacz Samouczek: automatyzowanie odpowiedzi na zagrożenia w usłudze Microsoft Sentinel przy użyciu podręczników.