Dela via

Migrera dina spelböcker för Aviseringsutlösare i Microsoft Sentinel till automatiseringsregler

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Vi rekommenderar att du migrerar befintliga spelböcker som bygger på aviseringsutlösare och migrerar dem från att anropas av analysregler till att anropas av automatiseringsregler. Den här artikeln förklarar varför vi rekommenderar den här åtgärden och hur du migrerar dina spelböcker.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Varför migrera

Spelböcker som anropas av automatiseringsregler i stället för analysregler har följande fördelar:

  • Automationshantering från en enda skärm, oavsett typ ("en enda fönsterruta").

  • Använd en enda automatiseringsregel som utlöser spelböcker för flera analysregler i stället för att konfigurera varje analysregel separat.

  • Definiera i vilken ordning aviseringsspelböcker ska köras.

  • Stöd för scenarier som anger ett förfallodatum för att köra en spelbok.

När du migrerar din spelboksutlösare ändras inte spelboken alls och ändrar bara den mekanism som anropar spelboken för att köra ändringar.

Möjligheten att anropa spelböcker från analysregler kommer att bli inaktuell från och med mars 2026. Fram till dess fortsätter spelböcker som redan definierats som från analysregler att köras, men från och med juni 2023 kan du inte längre lägga till spelböcker i listan över dem som anropas från analysregler. Det enda återstående alternativet är att anropa dem från automatiseringsregler.

Förutsättningar

Du behöver följande:

  • Rollen Logic Apps-deltagare för att skapa och redigera spelböcker

  • Rollen Microsoft Sentinel-deltagare för att koppla en spelbok till en automatiseringsregel

Mer information finns i Krav för Microsoft Sentinel-spelböcker.

Skapa en automatiseringsregel från en analysregel

Använd den här proceduren om du migrerar en spelbok som endast används av en analysregel. Annars använder du Skapa en ny automatiseringsregel från sidan Automation.

  1. För Microsoft Sentinel i Azure-portalen väljer du sidan Konfigurationsanalys>. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Configuration>Analytics.

  2. Under Aktiva regler hittar du en analysregel som redan har konfigurerats för att köra en spelbok och väljer Redigera.

    Skärmbild av att hitta och välja en analysregel.

  3. Välj fliken Automatiserat svar . Spelböcker som är direkt konfigurerade att köras från den här analysregeln finns under Aviseringsautomatisering (klassisk). Observera varningen om utfasning.

    Skärmbild av skärmen automationsregler och spelböcker.

  4. På den övre halvan av skärmen väljer du + Lägg till ny under Automation-regler för att skapa en ny automatiseringsregel.

  5. I panelen Skapa ny automatiseringsregel går du till Utlösare och väljer När aviseringen skapas.

    Skärmbild av hur du skapar en automatiseringsregel på skärmen för analysregler.

  6. Under Åtgärder ser du att åtgärden Kör spelbok , som är den enda tillgängliga typen av åtgärd, automatiskt väljs och nedtonas. Välj din spelbok från de som är tillgängliga i listrutan på raden nedan.

    Skärmbild av att välja spelbok som åtgärd i guiden automationsregel.

  7. Välj Använd. Den nya regeln visas i rutnätet för automatiseringsregler.

  8. Ta bort spelboken från avsnittet Aviseringsautomatisering (klassisk).

  9. Granska och uppdatera analysregeln för att spara ändringarna.

Skapa en ny automatiseringsregel från sidan Automation

Använd den här proceduren om du migrerar en spelbok som används av flera analysregler. Annars kan du använda Skapa en automatiseringsregel från en analysregel

  1. För Microsoft Sentinel i Azure-portalen väljer du sidan Konfigurationsanalys>. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Configuration>Analytics.

  2. I den översta menyraden väljer du Skapa –> Automation-regel.

  3. I listrutan Utlösare i panelen Skapa ny automatiseringsregel väljer du När aviseringen skapas.

  4. Under Villkor väljer du de analysregler som du vill köra en viss spelbok eller en uppsättning spelböcker på.

  5. Under Åtgärder väljer du + Lägg till för varje spelbok som du vill att den här regeln ska anropa. Åtgärden Kör spelbok väljs automatiskt och nedtonas.

  6. Välj från listan över tillgängliga spelböcker i listrutan på raden nedan. Ordna åtgärderna enligt den ordning som du vill att spelböckerna ska köras i genom att välja uppåt-/nedpilarna bredvid varje åtgärd.

  7. Välj Använd för att spara automatiseringsregeln.

  8. Redigera analysregeln eller reglerna som anropade dessa spelböcker (de regler som du angav under Villkor) och ta bort spelboken från avsnittet Aviseringsautomatisering (klassisk)fliken Automatiserat svar .

Relaterat innehåll

Mer information finns i: