Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel

W tym samouczku pokazano, jak używać podręczników wraz z regułami automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa wykrytych przez usługę Microsoft Sentinel. Po ukończeniu tego samouczka będziesz wiedzieć, jak wykonywać następujące czynności:

  • Tworzenie reguły automatyzacji
  • Tworzenie podręcznika
  • Dodawanie akcji do podręcznika
  • Dołączanie podręcznika do reguły automatyzacji lub reguły analizy w celu zautomatyzowania reagowania na zagrożenia

Uwaga

Ten samouczek zawiera podstawowe wskazówki dotyczące zadania klienta: tworzenie automatyzacji w celu klasyfikacji zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Instrukcje , taką jak Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel i Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Co to są reguły automatyzacji i podręczniki?

Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel. Można ich używać do automatycznego przypisywania zdarzeń do odpowiedniego personelu, zamykania hałaśliwych zdarzeń lub znanych wyników fałszywie dodatnich, zmieniania ich ważności i dodawania tagów. Są one również mechanizmem, za pomocą którego można uruchamiać podręczniki w odpowiedzi na zdarzenia.

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na alert lub zdarzenie. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub zdarzeń przez dołączanie do reguły analizy lub reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie.

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskujesz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Każdy podręcznik jest tworzony dla określonej subskrypcji, do której należy, ale na ekranie Podręczniki są wyświetlane wszystkie podręczniki dostępne w dowolnych wybranych subskrypcjach.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Jeśli na przykład chcesz uniemożliwić użytkownikom potencjalnie naruszone zabezpieczenia przed poruszaniem się po sieci i kradzieżą informacji, możesz utworzyć zautomatyzowaną, wieloaspektową odpowiedź na zdarzenia generowane przez reguły, które wykrywają naruszonych użytkowników. Zacznij od utworzenia podręcznika, który wykonuje następujące czynności:

  1. Gdy podręcznik jest wywoływany przez regułę automatyzacji przekazującą zdarzenie, podręcznik otwiera bilet w usłudze ServiceNow lub innym systemie obsługi biletów IT.

  2. Wysyła komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  3. Wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

  4. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

  5. Jeśli administratorzy wybierają pozycję Blokuj, wysyła polecenie do Azure AD, aby wyłączyć użytkownika, a jeden do zapory, aby zablokować adres IP.

  6. Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Aby wyzwolić podręcznik, utworzysz regułę automatyzacji uruchamianą po wygenerowaniu tych zdarzeń. Ta reguła podejmie następujące kroki:

  1. Reguła zmienia stan zdarzenia na Aktywny.

  2. Przypisuje zdarzenie do analityka, który ma za zadanie zarządzać tego typu incydentem.

  3. Dodaje tag "naruszony użytkownik".

  4. Na koniec wywołuje właśnie utworzony podręcznik. (Do wykonania tego kroku są wymagane specjalne uprawnienia).

Podręczniki można uruchamiać automatycznie w odpowiedzi na zdarzenia, tworząc reguły automatyzacji, które nazywają podręczniki jako akcje, jak w powyższym przykładzie. Można je również uruchamiać automatycznie w odpowiedzi na alerty, informując regułę analizy o automatycznym uruchomieniu co najmniej jednego podręcznika po wygenerowaniu alertu.

Możesz również uruchomić podręcznik ręcznie na żądanie jako odpowiedź na wybrany alert.

Uzyskaj bardziej kompletne i szczegółowe wprowadzenie do automatyzacji reagowania na zagrożenia przy użyciu reguł automatyzacji i podręczników w usłudze Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

Zrzut ekranu przedstawiający wybór menu służącego do dodawania nowego podręcznika na ekranie automatyzacji.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.

  2. W górnym menu wybierz pozycję Utwórz.

  3. Menu rozwijane, które zostanie wyświetlone w obszarze Utwórz , daje cztery opcje tworzenia podręczników:

    1. Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie postępuj zgodnie z instrukcjami na karcie Logic Apps Standard poniżej.

    2. Jeśli tworzysz podręcznik Zużycie (oryginalny, klasyczny rodzaj), w zależności od wyzwalacza jednostki wybierz element Playbook z wyzwalaczem zdarzenia, element playbook z wyzwalaczem alertu lub element playbook z wyzwalaczem jednostki. Następnie kontynuuj wykonywanie kroków na karcie Użycie usługi Logic Apps poniżej.

      Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Przygotowywanie podręcznika i aplikacji logiki

Niezależnie od tego, który wyzwalacz został wybrany do utworzenia podręcznika w poprzednim kroku, zostanie wyświetlony kreator Tworzenia podręcznika .

Tworzenie aplikacji logiki

  1. Na karcie Podstawy :

    1. Z odpowiednich list rozwijanych wybierz pozycję Subskrypcja, Grupa zasobów i Region . Wybrany region to miejsce przechowywania informacji o aplikacji logiki.

    2. Wprowadź nazwę podręcznika w obszarze Nazwa podręcznika.

    3. Jeśli chcesz monitorować aktywność tego podręcznika do celów diagnostycznych, zaznacz pole wyboru Włącz dzienniki diagnostyczne w usłudze Log Analytics i wybierz obszar roboczy usługi Log Analytics z listy rozwijanej.

    4. Jeśli podręczniki wymagają dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nią, może być konieczne użycie środowiska usługi integracji (ISE). Jeśli tak, zaznacz pole wyboru Skojarz ze środowiskiem usługi integracji , a następnie z listy rozwijanej wybierz żądany środowisko ISE.

    5. Wybierz pozycję Dalej: Połączenia >.

  2. Na karcie Połączenia :

    Najlepiej pozostawić tę sekcję tak, jak to jest, konfigurując usługę Logic Apps w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej. Dowiedz się więcej o tych i innych alternatywach uwierzytelniania.

    Wybierz pozycję Dalej: Przejrzyj i utwórz plik >.

  3. Na karcie Przeglądanie i tworzenie :

    Przejrzyj dokonane opcje konfiguracji, a następnie wybierz pozycję Utwórz i przejdź do projektanta.

  4. Tworzenie i wdrażanie podręcznika potrwa kilka minut, po czym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone" i nastąpi przekierowanie do projektanta aplikacji logiki nowego podręcznika. Wyzwalacz wybrany na początku zostanie automatycznie dodany jako pierwszy krok i możesz kontynuować projektowanie przepływu pracy.

    Zrzut ekranu przedstawiający ekran projektanta aplikacji logiki z wyzwalaczem otwierania.

    Jeśli wybrano wyzwalacz jednostki usługi Microsoft Sentinel (wersja zapoznawcza ), wybierz typ jednostki, którą ten podręcznik ma otrzymać jako dane wejściowe.

    Zrzut ekranu przedstawiający listę rozwijaną typów jednostek do wyboru w celu ustawienia schematu podręcznika.

Dodawanie akcji

Teraz możesz zdefiniować, co się stanie po wywołaniu podręcznika. Akcje, warunki logiczne, pętle lub warunki przypadku przełącznika można dodawać, wybierając pozycję Nowy krok. Ten wybór otwiera nową ramkę w projektancie, w której można wybrać system lub aplikację do interakcji lub warunek do ustawienia. Wprowadź nazwę systemu lub aplikacji na pasku wyszukiwania w górnej części ramki, a następnie wybierz spośród dostępnych wyników.

W każdym z tych kroków kliknięcie dowolnego pola powoduje wyświetlenie panelu z dwoma menu: zawartość dynamiczna i wyrażenie. Z menu Zawartość dynamiczna można dodać odwołania do atrybutów alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i niestandardowych szczegółów zawartych w alercie lub incydencie. W menu Wyrażenie możesz wybrać dużą bibliotekę funkcji, aby dodać dodatkową logikę do kroków.

Ten zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia podręcznika opisanego w przykładzie na początku tego dokumentu. Dowiedz się więcej o dodawaniu akcji do podręczników.

Zrzut ekranu przedstawiający projektanta aplikacji logiki z przepływem pracy wyzwalacza zdarzenia.

Zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel , aby uzyskać szczegółowe informacje na temat akcji, które można dodać do podręczników w różnych celach.

W szczególności należy pamiętać o ważnych informacjach o podręcznikach opartych na wyzwalaczu jednostki w kontekście niezdarnym.

Automatyzowanie odpowiedzi na zagrożenia

Element playbook został utworzony i zdefiniowany wyzwalacz, ustawić warunki i przepisać akcje, które zostaną wykonane, a dane wyjściowe zostaną utworzone. Teraz należy określić kryteria, w ramach których zostanie uruchomiony i skonfigurować mechanizm automatyzacji, który będzie uruchamiany po spełnieniu tych kryteriów.

Reagowanie na zdarzenia

Podręcznik służy do reagowania na zdarzenie przez utworzenie reguły automatyzacji , która zostanie uruchomiona po wygenerowaniu zdarzenia, a z kolei wywoła podręcznik.

Aby utworzyć regułę automatyzacji:

  1. W bloku Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Dodaj nową regułę.

    Zrzut ekranu przedstawiający sposób dodawania nowej reguły automatyzacji.

  2. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji . Wprowadź nazwę reguły.

    Zrzut ekranu przedstawiający kreatora tworzenia reguły automatyzacji.

  3. Jeśli chcesz, aby reguła automatyzacji weszła w życie tylko na określonych regułach analizy, określ te reguły, modyfikując warunek nazwy reguły If Analytics .

  4. Dodaj inne warunki, od których ma zależeć aktywacja tej reguły automatyzacji. Kliknij pozycję Dodaj warunek i wybierz warunki z listy rozwijanej. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.

  5. Wybierz akcje, które mają zostać wykonane przez tę regułę automatyzacji. Dostępne akcje obejmują przypisywanie właściciela, stan zmiany, ważność zmiany, dodawanie tagów i uruchamianie podręcznika. Możesz dodać dowolną liczbę akcji.

  6. Jeśli dodasz akcję Uruchom podręcznik , zostanie wyświetlony monit o wybranie z listy rozwijanej dostępnych podręczników. Tylko podręczniki rozpoczynające się od wyzwalacza zdarzenia mogą być uruchamiane z reguł automatyzacji, więc tylko będą wyświetlane na liście.

    Ważne

    Usługa Microsoft Sentinel musi mieć jawne uprawnienia, aby uruchamiać podręczniki na podstawie wyzwalacza zdarzenia, niezależnie od tego, czy są wykonywane ręcznie, czy z reguł automatyzacji. Jeśli element playbook pojawi się "wyszarydzony" na liście rozwijanej, oznacza to, że usługa Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Kliknij link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.

    W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie kliknij przycisk Zastosuj.

    Zarządzanie uprawnieniami

    • Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Współautor aplikacji logiki w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

    • W przypadku wdrożenia z wieloma dzierżawami, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w dzierżawie podręcznika.

      1. W menu nawigacji usługi Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.
      2. W bloku Ustawienia wybierz kartę Ustawienia , a następnie rozwiń węzeł Uprawnienia podręcznika .
      3. Kliknij przycisk Konfiguruj uprawnienia , aby otworzyć panel Zarządzanie uprawnieniami wymienionych powyżej i kontynuować zgodnie z opisem w tym miejscu.
    • Jeśli w scenariuszu programu MSSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w obu dzierżawach. W dzierżawie klienta postępuj zgodnie z instrukcjami dotyczącymi wdrażania z wieloma dzierżawami w poprzednim punkcie punktorowym. W dzierżawie dostawcy usług musisz dodać aplikację Azure Security Insights w szablonie dołączania usługi Azure Lighthouse:

      1. W witrynie Azure Portal przejdź do usługi Azure Active Directory.
      2. Kliknij pozycję Aplikacje dla przedsiębiorstw.
      3. Wybierz pozycję Typ aplikacji i filtruj w obszarze Aplikacje firmy Microsoft.
      4. W polu wyszukiwania wpisz Azure Security Insights.
      5. Skopiuj pole Identyfikator obiektu . Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.

      Rola Współautor automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID, który to f4c81013-99ee-4d62-a7ee-b3f1f648599a. Przykładowa autoryzacja usługi Azure Lighthouse wygląda następująco w szablonie parametrów:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.

  8. Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w sekwencji reguł automatyzacji zostanie uruchomiona ta reguła.

  9. Kliknij pozycję Zastosuj. Wszystko gotowe!

Odkryj inne sposoby tworzenia reguł automatyzacji.

Reagowanie na alerty

Podręcznik służy do reagowania na alert , tworząc regułę analizy lub edytując istniejącą, uruchamianą po wygenerowaniu alertu i wybierając podręcznik jako automatyczną odpowiedź w kreatorze reguł analizy.

  1. W bloku Analiza w menu nawigacji usługi Microsoft Sentinel wybierz regułę analizy, dla której chcesz zautomatyzować odpowiedź, a następnie kliknij pozycję Edytuj w okienku szczegółów.

  2. W kreatorze reguł analizy — edytuj istniejącą zaplanowaną regułę wybierz kartę Automatyczna odpowiedź .

    Karta Automatyczna odpowiedź

  3. Wybierz podręcznik z listy rozwijanej. Możesz wybrać więcej niż jeden podręcznik, ale dostępne będą tylko podręczniki korzystające z wyzwalacza alertu .

  4. Na karcie Przeglądanie i aktualizowanie wybierz pozycję Zapisz.

Uruchamianie podręcznika na żądanie

Możesz również ręcznie uruchomić podręcznik na żądanie w przypadku zdarzeń (w wersji zapoznawczej) i alertów. Może to być przydatne w sytuacjach, w których potrzebujesz większej liczby ludzkich danych wejściowych i kontroli nad orkiestracją i procesami reagowania.

Ręczne uruchamianie podręcznika w alercie

  1. Na stronie Zdarzenia wybierz zdarzenie.

  2. Wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia.

  3. Na stronie szczegółów zdarzenia w widżecie Oś czasu zdarzenia wybierz alert, na którym chcesz uruchomić podręcznik. Wybierz trzy kropki na końcu wiersza alertu i wybierz pozycję Uruchom podręcznik z menu podręcznego.

  4. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps usługi Microsoft Sentinel , do którego masz dostęp.

  5. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników można wyświetlić w alercie, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie każdego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w zdarzeniu

  1. Na stronie Zdarzenia wybierz zdarzenie.

  2. W okienku szczegółów zdarzenia, które jest wyświetlane po prawej stronie, wybierz pozycję Akcje > Uruchom podręcznik (wersja zapoznawcza).
    (Wybranie trzech kropek na końcu wiersza zdarzenia w siatce lub kliknięcie prawym przyciskiem myszy incydentu spowoduje wyświetlenie tej samej listy co przycisk Akcja ).

  3. Element playbook Uruchom na panelu zdarzeń zostanie otwarty po prawej stronie. Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps zdarzeń usługi Microsoft Sentinel , do którego masz dostęp.

    Uwaga

    Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów (zobacz notatkę powyżej). Aby przyznać te uprawnienia, wybierz pozycję Ustawienia z menu głównego, wybierz kartę Ustawienia , rozwiń rozszerzenie uprawnienia podręcznika i wybierz pozycję Konfiguruj uprawnienia. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

  4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w incydencie można wyświetlić, wybierając kartę Uruchomienia na panelu Run playbook (Uruchamianie) na panelu Zdarzenia . Wyświetlenie każdego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w jednostce

  1. Wybierz jednostkę na jeden z następujących sposobów, w zależności od kontekstu źródłowego:

    Jeśli jesteś na stronie szczegółów zdarzenia (nowa wersja, teraz w wersji zapoznawczej):

    1. W widżecie Jednostki na karcie Przegląd znajdź jednostkę z listy (nie wybieraj jej).
    2. Wybierz trzy kropki po prawej stronie jednostki.
    3. Wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) z menu podręcznego i przejdź do kroku 2 poniżej.
      Jeśli wybrano jednostkę i wprowadzono kartę Jednostki na stronie szczegółów zdarzenia, przejdź do następnego wiersza poniżej.
    4. Znajdź jednostkę z listy (nie wybieraj jej).
    5. Wybierz trzy kropki po prawej stronie jednostki.
    6. Wybierz pozycję Uruchom element playbook (wersja zapoznawcza) z menu podręcznego.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

    Jeśli jesteś na stronie szczegółów zdarzenia (starsza wersja):

    1. Wybierz kartę Jednostki zdarzenia.
    2. Znajdź jednostkę z listy (nie wybieraj jej).
    3. Wybierz link Uruchom podręcznik (wersja zapoznawcza) na końcu wiersza na liście.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

    Jeśli jesteś na grafie Badanie:

    1. Wybierz jednostkę na grafie.
    2. Wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu bocznym jednostki.
      W przypadku niektórych typów jednostek może być konieczne wybranie przycisku Akcje jednostki , a następnie z menu wynikowego wybierz pozycję Uruchom podręcznik (wersja zapoznawcza).

    Jeśli aktywnie wyszukujesz zagrożenia:

    1. Na ekranie Zachowanie jednostki wybierz jednostkę z list na stronie lub wyszukaj i wybierz inną jednostkę.
    2. Na stronie jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.
  2. Niezależnie od kontekstu, z którego pochodzisz, powyższe instrukcje będą otwierać podręcznik Run playbook na <panelu typu> jednostki. Zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, które zostały skonfigurowane za pomocą wyzwalacza Microsoft Sentinel Entity Logic Apps dla wybranego typu jednostki.

  3. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania elementów playbook w danej jednostce można wyświetlić, wybierając kartę Przebiegi na panelu Run playbook on entity type (Uruchamianie elementu playbook na <panelu typ> jednostki). Wyświetlenie każdego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Następne kroki

W tym samouczku przedstawiono sposób używania podręczników i reguł automatyzacji w usłudze Microsoft Sentinel w celu reagowania na zagrożenia.