Samouczek: reagowanie na zagrożenia przy użyciu podręczników za pomocą reguł automatyzacji w usłudze Microsoft Sentinel

W tym samouczku pokazano, jak używać podręczników wraz z regułami automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa wykrytych przez usługę Microsoft Sentinel. Po ukończeniu tego samouczka będziesz mieć następujące możliwości:

  • Tworzenie reguły automatyzacji
  • Tworzenie podręcznika
  • Dodawanie akcji do podręcznika
  • Dołączanie podręcznika do reguły automatyzacji lub reguły analizy w celu zautomatyzowania reagowania na zagrożenia

Uwaga

Ten samouczek zawiera podstawowe wskazówki dotyczące zadania klienta: tworzenie automatyzacji w celu klasyfikacji zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Instrukcje , takie jak Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel i Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Co to są reguły automatyzacji i podręczniki?

Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel. Można ich używać do automatycznego przypisywania zdarzeń do odpowiedniego personelu, zamykania hałaśliwych zdarzeń lub znanych wyników fałszywie dodatnich, zmiany ich ważności i dodawania tagów. Są one również mechanizmem, za pomocą którego można uruchamiać podręczniki w odpowiedzi na zdarzenia lub alerty.

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń przez dołączanie do reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Każdy podręcznik jest tworzony dla określonej subskrypcji, do której należy, ale na ekranie Podręczniki są wyświetlane wszystkie podręczniki dostępne we wszystkich wybranych subskrypcjach.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Jeśli na przykład chcesz zatrzymać potencjalnie naruszone zabezpieczenia użytkowników przed poruszaniem się po sieci i kradzieżą informacji, możesz utworzyć zautomatyzowaną, wielowymiarową odpowiedź na zdarzenia generowane przez reguły, które wykrywają naruszonych użytkowników. Zacznij od utworzenia podręcznika, który wykonuje następujące czynności:

  1. Gdy podręcznik jest wywoływany przez regułę automatyzacji przekazującą zdarzenie, podręcznik otwiera bilet w usłudze ServiceNow lub innym systemie obsługi biletów IT.

  2. Wysyła komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  3. Wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

  4. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

  5. Jeśli administratorzy wybierają pozycję Blokuj, wysyła polecenie do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika, a jeden z nich do zapory w celu zablokowania adresu IP.

  6. Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Aby wyzwolić podręcznik, utworzysz regułę automatyzacji uruchamianą po wygenerowaniu tych zdarzeń. Ta reguła podejmie następujące kroki:

  1. Reguła zmienia stan zdarzenia na Aktywny.

  2. Przypisuje zdarzenie do analityka, który ma za zadanie zarządzać tym typem zdarzenia.

  3. Dodaje tag "naruszonego użytkownika".

  4. Na koniec wywołuje właśnie utworzony podręcznik. (Do tego kroku są wymagane specjalne uprawnienia).

Podręczniki można uruchamiać automatycznie w odpowiedzi na zdarzenia, tworząc reguły automatyzacji, które nazywają podręczniki jako akcje, jak w powyższym przykładzie. Można je również uruchamiać automatycznie w odpowiedzi na alerty, informując regułę analizy o automatycznym uruchomieniu co najmniej jednego podręcznika po wygenerowaniu alertu.

Możesz również uruchomić podręcznik ręcznie na żądanie jako odpowiedź na wybrany alert.

Uzyskaj bardziej kompletne i szczegółowe wprowadzenie do automatyzacji reagowania na zagrożenia przy użyciu reguł automatyzacji i podręczników w usłudze Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

Screenshot of the menu selection for adding a new playbook in the Automation screen.

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Automatyzacja.

  2. W górnym menu wybierz pozycję Utwórz.

  3. Menu rozwijane wyświetlane w obszarze Utwórz daje cztery opcje tworzenia podręczników:

    1. Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie postępuj zgodnie z instrukcjami na karcie Logic Apps Standard poniżej.

    2. Jeśli tworzysz podręcznik Zużycie (oryginalny, klasyczny), w zależności od wyzwalacza jednostki wybierz element Playbook z wyzwalaczem zdarzenia, element Playbook z wyzwalaczem alertu lub element playbook z wyzwalaczem jednostki. Następnie wykonaj poniższe kroki na karcie Użycie usługi Logic Apps.

      Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Przygotowywanie podręcznika i aplikacji logiki

Niezależnie od tego, który wyzwalacz został wybrany do utworzenia podręcznika w poprzednim kroku, zostanie wyświetlony kreator Tworzenie podręcznika .

Create a logic app

  1. Na karcie Podstawy :

    1. Wybierz pozycję Subskrypcja, Grupa zasobów i Region wybranego z odpowiednich list rozwijanych. Wybrany region to miejsce, w którym będą przechowywane informacje o aplikacji logiki.

    2. Wprowadź nazwę podręcznika w obszarze Nazwa podręcznika.

    3. Jeśli chcesz monitorować aktywność tego podręcznika w celach diagnostycznych, zaznacz pole wyboru Włącz dzienniki diagnostyczne w usłudze Log Analytics i wybierz obszar roboczy usługi Log Analytics z listy rozwijanej.

    4. Jeśli podręczniki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nimi, może być konieczne użycie środowiska usługi integracji (ISE). Jeśli tak, zaznacz pole wyboru Skojarz ze środowiskiem usługi integracji i wybierz z listy rozwijanej żądane środowisko ISE.

    5. Wybierz pozycję Dalej: Połączenie ions >.

  2. Na karcie Połączenie ions:

    Najlepiej pozostawić tę sekcję tak, jak to jest, konfigurując usługę Logic Apps w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej. Dowiedz się więcej o tych i innych alternatywach uwierzytelniania.

    Wybierz pozycję Dalej: Przejrzyj i utwórz plik >.

  3. Na karcie Przeglądanie i tworzenie:

    Przejrzyj dokonane opcje konfiguracji, a następnie wybierz pozycję Utwórz i przejdź do projektanta.

  4. Tworzenie i wdrażanie podręcznika potrwa kilka minut, po czym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone" i nastąpi przekierowanie do nowej aplikacji logiki podręcznika Projektant. Wyzwalacz wybrany na początku zostanie automatycznie dodany jako pierwszy krok i możesz kontynuować projektowanie przepływu pracy.

    Screenshot of logic app designer screen with opening trigger.

    Jeśli wybrano wyzwalacz jednostki Usługi Microsoft Sentinel (wersja zapoznawcza), wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.

    Screenshot of drop-down list of entity types to choose from to set playbook schema.

Dodawanie akcji

Teraz możesz zdefiniować, co się stanie po wywołaniu podręcznika. Akcje, warunki logiczne, pętle lub warunki przypadku przełącznika można dodawać, wybierając pozycję Nowy krok. To zaznaczenie otwiera nową ramkę w projektancie, w której można wybrać system lub aplikację do interakcji z lub warunek do ustawienia. Wprowadź nazwę systemu lub aplikacji na pasku wyszukiwania w górnej części ramki, a następnie wybierz spośród dostępnych wyników.

W każdym z tych kroków kliknięcie dowolnego pola powoduje wyświetlenie panelu z dwoma menu: zawartość dynamiczna i wyrażenie. W menu Zawartość dynamiczna można dodawać odwołania do atrybutów alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i szczegółów niestandardowych zawartych w alercie lub incydencie. W menu Wyrażenie możesz wybrać dużą bibliotekę funkcji, aby dodać dodatkową logikę do kroków.

Ten zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia podręcznika opisanego w przykładzie na początku tego dokumentu. Dowiedz się więcej o dodawaniu akcji do podręczników.

Screenshot showing the Logic App designer with an incident trigger workflow.

Zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel, aby uzyskać szczegółowe informacje o akcjach, które można dodać do podręczników w różnych celach.

W szczególności należy pamiętać o ważnych informacjach dotyczących podręczników opartych na wyzwalaczu jednostki w kontekście niezdarnym.

Automatyzowanie odpowiedzi na zagrożenia

Element playbook został utworzony i zdefiniowany wyzwalacz, ustawił warunki i przepisał akcje, które zostaną wykonane, oraz dane wyjściowe, które zostaną utworzone. Teraz należy określić kryteria uruchamiania i skonfigurować mechanizm automatyzacji, który będzie uruchamiany po spełnieniu tych kryteriów.

Reagowanie na zdarzenia i alerty

Aby użyć podręcznika do automatycznego reagowania na całe zdarzenie lub do pojedynczego alertu, utwórz regułę automatyzacji, która będzie uruchamiana po utworzeniu lub zaktualizowaniu zdarzenia lub wygenerowaniu alertu. Ta reguła automatyzacji będzie zawierać krok, który wywołuje podręcznik, którego chcesz użyć.

Aby utworzyć regułę automatyzacji:

  1. W bloku Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Reguła usługi Automation.

    Screenshot showing how to add a new automation rule.

  2. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji. Wprowadź nazwę reguły.

    Screenshot showing the automation rule creation wizard.

  3. Wyzwalacz: wybierz odpowiedni wyzwalacz zgodnie z okolicznościami, dla których tworzysz regułę automatyzacji — po utworzeniu zdarzenia, po zaktualizowaniu zdarzenia lub utworzeniu alertu.

  4. Warunki:

    1. Zdarzenia mogą mieć dwa możliwe źródła: można je utworzyć w usłudze Microsoft Sentinel, a także zaimportować je z usługi Microsoft Defender XDR i zsynchronizować z nimi.

      Jeśli wybrano jeden z wyzwalaczy zdarzenia i chcesz, aby reguła automatyzacji weszła w życie tylko na zdarzeniach źródłowych w usłudze Microsoft Sentinel lub alternatywnie w usłudze Microsoft Defender XDR, określ źródło w polu Jeśli dostawca zdarzenia jest równy warunek. (Ten warunek będzie wyświetlany tylko wtedy, gdy wybrano wyzwalacz zdarzenia).

    2. W przypadku wszystkich typów wyzwalaczy, jeśli chcesz, aby reguła automatyzacji obowiązywała tylko dla określonych reguł analizy, określ te, które zmodyfikując nazwę reguły If Analytics zawiera warunek.

    3. Dodaj inne warunki, które chcesz określić, czy ta reguła automatyzacji zostanie uruchomiona. Wybierz pozycję + Dodaj i wybierz z listy rozwijanej warunki lub grupy warunków. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.

  5. Akcje:

    1. Ponieważ używasz tej reguły automatyzacji do uruchamiania podręcznika, wybierz akcję Uruchom podręcznik z listy rozwijanej. Następnie zostanie wyświetlony monit o wybranie z drugiej listy rozwijanej zawierającej dostępne podręczniki. Reguła automatyzacji może uruchamiać tylko te podręczniki, które zaczynają się od tego samego wyzwalacza (zdarzenia lub alertu), co wyzwalacz zdefiniowany w regule, więc tylko te podręczniki będą wyświetlane na liście.

      Ważne

      Usługa Microsoft Sentinel musi mieć jawne uprawnienia, aby można było uruchamiać podręczniki, zarówno ręcznie, jak i z reguł automatyzacji. Jeśli element playbook pojawi się na liście rozwijanej "wyszaryzowany", oznacza to, że usługa Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Kliknij link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.

      W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie kliknij przycisk Zastosuj.

      Screenshot that shows the actions section with run playbook selected.

      • Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Współautor aplikacji logiki w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

      • W przypadku wdrożenia wielodostępnego, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w dzierżawie podręcznika.

        1. W menu nawigacji usługi Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.
        2. W bloku Ustawienia wybierz kartę Ustawienia, a następnie rozwiń pozycję Uprawnienia podręcznika.
        3. Kliknij przycisk Konfiguruj uprawnienia, aby otworzyć panel Zarządzanie uprawnieniami wymienionymi powyżej i kontynuować zgodnie z opisem.
      • Jeśli w scenariuszu msSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz przyznać usłudze Microsoft Sentinel uprawnienia do uruchamiania podręcznika w obu dzierżawach. W dzierżawie klienta postępuj zgodnie z instrukcjami dotyczącymi wdrożenia z wieloma dzierżawami w poprzednim punkcie punktorowym. W dzierżawie dostawcy usług należy dodać aplikację Azure Security Szczegółowe informacje w szablonie dołączania usługi Azure Lighthouse:

        1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.
        2. Kliknij pozycję Aplikacje dla przedsiębiorstw.
        3. Wybierz pozycję Typ aplikacji i filtruj w obszarze Aplikacje firmy Microsoft.
        4. W polu wyszukiwania wpisz Azure Security Szczegółowe informacje.
        5. Skopiuj pole Identyfikator obiektu. Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.

        Rola Współautor automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID, który jest f4c81013-99ee-4d62-a7ee-b3f1f648599a. Przykładowa autoryzacja usługi Azure Lighthouse wygląda następująco w szablonie parametrów:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        
    2. Dodaj inne akcje dla tej reguły. Kolejność wykonywania akcji można zmienić, wybierając strzałki w górę lub w dół po prawej stronie dowolnej akcji.

  6. Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.

  7. Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w kolejności reguł automatyzacji ta reguła zostanie uruchomiona.

  8. Kliknij Zastosuj. Wszystko gotowe!

Odkryj inne sposoby tworzenia reguł automatyzacji.

Reagowanie na alerty — starsza metoda

Innym sposobem automatycznego uruchamiania podręczników w odpowiedzi na alerty jest wywołanie ich z reguły analizy. Gdy reguła wygeneruje alert, podręcznik zostanie uruchomiony.

Ta metoda zostanie wycofana z marca 2026 r.

Od czerwca 2023 r. nie można już dodawać podręczników do reguł analizy w ten sposób. Jednak nadal można zobaczyć istniejące podręczniki wywoływane z reguł analizy, a te podręczniki będą nadal działać do marca 2026 roku. Zdecydowanie zachęcamy do tworzenia reguł automatyzacji w celu wywołania tych podręczników przed tym.

Uruchamianie podręcznika na żądanie

Możesz również ręcznie uruchomić podręcznik na żądanie, niezależnie od tego, czy w odpowiedzi na alerty, zdarzenia (w wersji zapoznawczej) lub jednostki (również w wersji zapoznawczej). Może to być przydatne w sytuacjach, w których potrzebujesz większej ilości danych wejściowych człowieka i kontroli nad procesami aranżacji i odpowiedzi.

Ręczne uruchamianie podręcznika w alercie

  1. Na stronie Incydenty wybierz zdarzenie.

  2. Wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia.

  3. Na stronie szczegółów zdarzenia w widżecie oś czasu zdarzenia wybierz alert, na którym chcesz uruchomić podręcznik. Wybierz trzy kropki na końcu wiersza alertu i wybierz pozycję Uruchom podręcznik z menu podręcznego.

    Screenshot of running a playbook on an alert on-demand.

  4. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych przy użyciu wyzwalacza usługi Logic Apps usługi Microsoft Sentinel, do którego masz dostęp.

  5. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w alercie można wyświetlić, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w incydencie (wersja zapoznawcza)

  1. Na stronie Incydenty wybierz zdarzenie.

  2. W okienku szczegółów zdarzenia po prawej stronie wybierz pozycję Akcje > Uruchom podręcznik (wersja zapoznawcza).
    (Wybranie trzech kropek na końcu wiersza zdarzenia w siatce lub kliknięcie prawym przyciskiem myszy incydentu spowoduje wyświetlenie tej samej listy co Przycisk akcji .

  3. Po prawej stronie zostanie otwarty element playbook Run (Uruchom element playbook na panelu zdarzeń ). Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps zdarzeń usługi Microsoft Sentinel, do którego masz dostęp.

    Uwaga

    Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów (zobacz notatkę powyżej). Aby przyznać te uprawnienia, wybierz pozycję Ustawienia z menu głównego, wybierz kartę Ustawienia, rozwiń rozszerzenie uprawnienia podręcznika i wybierz pozycję Konfiguruj uprawnienia. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

  4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w incydencie można wyświetlić, wybierając kartę Uruchomienia na panelu Run playbook on incident (Uruchamianie elementu playbook na panelu zdarzenia ). Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w jednostce (wersja zapoznawcza)

  1. Wybierz jednostkę na jeden z następujących sposobów, w zależności od kontekstu źródłowego:

    Jeśli jesteś na stronie szczegółów zdarzenia (nowa wersja):

    1. W widżecie Jednostki na karcie Przegląd znajdź jednostkę z listy (nie wybieraj jej).
    2. Wybierz trzy kropki po prawej stronie jednostki.
    3. Wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) z menu podręcznego i przejdź do kroku 2 poniżej.
      Jeśli wybrano jednostkę i wprowadzono kartę Jednostki na stronie szczegółów zdarzenia, przejdź do następnego wiersza poniżej.
    4. Znajdź jednostkę z listy (nie wybieraj jej).
    5. Wybierz trzy kropki po prawej stronie jednostki.
    6. Wybierz pozycję Uruchom element playbook (wersja zapoznawcza) z menu podręcznego.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

    Jeśli jesteś na stronie szczegółów zdarzenia (starsza wersja):

    1. Wybierz kartę Jednostki zdarzenia.
    2. Znajdź jednostkę z listy (nie wybieraj jej).
    3. Wybierz link Uruchom element playbook (wersja zapoznawcza) na końcu wiersza na liście.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

    Jeśli jesteś na grafie Badanie:

    1. Wybierz jednostkę na wykresie.
    2. Wybierz przycisk Uruchom element playbook (wersja zapoznawcza) w panelu bocznym jednostki.
      W przypadku niektórych typów jednostek może być konieczne wybranie przycisku Akcje jednostki, a następnie z wyświetlonego menu wybierz pozycję Uruchom podręcznik (wersja zapoznawcza).

    Jeśli aktywnie wyszukujesz zagrożenia:

    1. Na ekranie Zachowanie jednostki wybierz jednostkę z list na stronie lub wyszukaj i wybierz inną jednostkę.
    2. Na stronie jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.
  2. Niezależnie od kontekstu, z którego pochodzisz, powyższe instrukcje będą otwierać element playbook Run na <panelu typu> jednostki. Zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, z wyzwalaczem jednostki usługi Microsoft Sentinel dla wybranego typu jednostki.

  3. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w danej jednostce można wyświetlić, wybierając kartę Uruchomienia na panelu Uruchamianie elementu playbook na< panelu typ> jednostki. Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Następne kroki

W tym samouczku przedstawiono sposób używania podręczników i reguł automatyzacji w usłudze Microsoft Sentinel w celu reagowania na zagrożenia.