Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak (i dlaczego) korzystać z istniejących podręczników utworzonych na wyzwalaczu alertu i migrować je z wywoływanych przez reguły analizy do wywoływanych przez reguły automatyzacji.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dlaczego warto przeprowadzić migrację

Jeśli już utworzono i utworzono podręczniki do reagowania na alerty (a nie zdarzenia) i dołączono je do reguł analizy, zdecydowanie zachęcamy do przeniesienia tych podręczników do reguł automatyzacji. W ten sposób uzyskasz następujące korzyści:

• Zarządzanie wszystkimi automatyzacjami na podstawie jednego wyświetlacza, niezależnie od typu
  ("pojedyncze okienko szkła").

• Zdefiniuj pojedynczą regułę automatyzacji, która może wyzwalać podręczniki dla wielu reguł analizy, zamiast konfigurować niezależnie każdą regułę analizy.

• Zdefiniuj kolejność wykonywania podręczników alertów.

• Scenariusze obsługi, które ustawiają datę wygaśnięcia dla uruchamiania podręcznika.

Ważne jest, aby zrozumieć, że podręcznik nie zmieni się w ogóle. Zmieni się tylko mechanizm, który wywołuje go do uruchomienia.

Na koniec możliwość wywoływania podręczników z reguł analizy będzie przestarzała od marca 2026 r. Do tego czasu podręczniki już zdefiniowane do wywołania z reguł analizy będą nadal działać, ale od czerwca 2023 r. nie można już dodawać podręczników do listy elementów wywoływanych z reguł analizy. Jedyną pozostałą opcją jest wywołanie ich z reguł automatyzacji.

Jak przeprowadzić migrację

• Jeśli migrujesz podręcznik używany tylko przez jedną regułę analizy, postępuj zgodnie z instrukcjami w sekcji Tworzenie reguły automatyzacji na podstawie reguły analizy.

• Jeśli migrujesz podręcznik używany przez więcej niż jedną regułę analizy, postępuj zgodnie z instrukcjami w sekcji Tworzenie nowej reguły automatyzacji z portalu usługi Automation.

Tworzenie reguły automatyzacji na podstawie reguły analizy

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>

2. W obszarze Aktywne reguły znajdź regułę analizy skonfigurowaną do uruchamiania podręcznika.

3. Zaznacz Edytuj.

   

4. Wybierz kartę Automatyczna odpowiedź .

5. Podręczniki skonfigurowane bezpośrednio do uruchamiania z tej reguły analitycznej można znaleźć w obszarze Automatyzacja alertów (wersja klasyczna). Zwróć uwagę na ostrzeżenie o wycofaniu.

   

6. Wybierz pozycję + Dodaj nowy w obszarze Reguły automatyzacji (w górnej połowie ekranu), aby utworzyć nową regułę automatyzacji.

7. W panelu Tworzenie nowej reguły automatyzacji w obszarze Wyzwalacz wybierz pozycję Po utworzeniu alertu.

   

8. W obszarze Akcje sprawdź, czy akcja Uruchom podręcznika , będąca jedynym dostępnym typem akcji, jest automatycznie zaznaczona i wyszarana. Wybierz element playbook z tych, które są dostępne na liście rozwijanej w poniższym wierszu.

   

9. Wybierz Zastosuj. Nowa reguła będzie teraz widoczna w siatce reguł automatyzacji.

10. Usuń podręcznik z sekcji Automatyzacja alertów (wersja klasyczna).

11. Przejrzyj i zaktualizuj regułę analizy, aby zapisać zmiany.

Tworzenie nowej reguły automatyzacji w portalu usługi Automation

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Analiza konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Analiza konfiguracji> usługi Microsoft Sentinel.>

2. Na górnym pasku menu wybierz pozycję Utwórz —> reguła automatyzacji.

3. Na panelu Tworzenie nowej reguły automatyzacji na liście rozwijanej Wyzwalacz wybierz pozycję Po utworzeniu alertu.

4. W obszarze Warunki wybierz reguły analizy, dla których chcesz uruchomić określony podręcznik lub zestaw podręczników.

5. W obszarze Akcje dla każdego podręcznika, który ma zostać wywołany, wybierz pozycję + Dodaj akcję. Akcja Uruchom element playbook zostanie automatycznie wybrana i wyszaryzowana. Wybierz z listy dostępnych podręczników na liście rozwijanej w poniższym wierszu. Zamów akcje zgodnie z kolejnością, w której podręczniki mają być uruchamiane. Kolejność akcji można zmienić, wybierając strzałki w górę/w dół obok każdej akcji.

6. Wybierz pozycję Zastosuj , aby zapisać regułę automatyzacji.

7. Edytuj regułę analizy lub reguły, które wywołały te podręczniki (reguły określone w obszarze Warunki), usuwając podręcznik z sekcji Automatyzacja alertów (wersja klasyczna) na karcie Automatyczna odpowiedź .

Następne kroki

W tym dokumencie przedstawiono sposób migrowania podręczników na podstawie wyzwalacza alertu z reguł analizy do reguł automatyzacji.

• Aby dowiedzieć się więcej o regułach automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
• Aby utworzyć reguły automatyzacji, zobacz Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania odpowiedzią
• Aby dowiedzieć się więcej na temat zaawansowanych opcji automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
• Aby uzyskać pomoc dotyczącą implementowania reguł automatyzacji i podręczników, zobacz Samouczek: automatyzowanie odpowiedzi na zagrożenia w usłudze Microsoft Sentinel przy użyciu podręczników.