Aracılığıyla paylaş

Microsoft Sentinel uyarı tetikleyicisi playbook'larınızı otomasyon kurallarına geçirme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uyarı tetikleyicileri üzerine oluşturulmuş mevcut playbook'ları geçirmenizi ve bunları analiz kuralları tarafından çağrılmalarından otomasyon kuralları tarafından çağrılmaya geçirmenizi öneririz. Bu makalede bu eylemi neden önerdiğimiz ve playbook'larınızı nasıl geçirebileceğimiz açıklanmaktadır.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Geçiş neden

Analiz kuralları yerine otomasyon kuralları tarafından çağrılan playbook'ların avantajları şunlardır:

  • Türe bakılmaksızın tek bir ekrandan otomasyon yönetimi ("tek bölmeli cam").

  • Her analiz kuralını ayrı ayrı yapılandırmak yerine birden çok analiz kuralı için playbook'ları tetikleyen tek bir otomasyon kuralı kullanın.

  • Uyarı playbook'larının yürütülecek sırasını tanımlayın.

  • Playbook çalıştırmak için son kullanma tarihi ayarlayan senaryolar için destek.

Playbook tetikleyicinizin geçirilmesi playbook'u hiç değiştirmez ve yalnızca değişiklikleri çalıştırmak için playbook'u çağıran mekanizmayı değiştirir.

Playbook'ları analiz kurallarından çağırma özelliği Mart 2026'dan itibaren kullanımdan kaldırılacaktır. O zamana kadar analiz kurallarından olarak tanımlanmış playbook'lar çalışmaya devam edecektir, ancak Haziran 2023'ten itibaren analiz kurallarından çağrılanlar listesine playbook'lar ekleyemezsiniz. Kalan tek seçenek, bunları otomasyon kurallarından çağırmaktır.

Önkoşullar

Aşağıdakilere ihtiyacınız olacaktır:

  • Playbook'ları oluşturmak ve düzenlemek için Logic Apps Katkıda Bulunanı rolü

  • Otomasyon kuralına playbook eklemek için Microsoft Sentinel Katkıda Bulunanı rolü

Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.

Analiz kuralından otomasyon kuralı oluşturma

Yalnızca bir analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız bu yordamı kullanın. Aksi takdirde Otomasyon sayfasından Yeni otomasyon kuralı oluştur'u kullanın.

  1. Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.

  2. Etkin kurallar'ın altında, playbook çalıştırmak için zaten yapılandırılmış bir analiz kuralı bulun ve Düzenle'yi seçin.

    Analiz kuralını bulma ve seçme işleminin ekran görüntüsü.

  3. Otomatik yanıt sekmesini seçin. Bu analiz kuralından çalıştırılacak şekilde doğrudan yapılandırılmış playbook'lar Uyarı otomasyonu (klasik) altında bulunabilir. Kullanımdan kaldırmayla ilgili uyarıya dikkat edin.

    Otomasyon kuralları ve playbook'lar ekranının ekran görüntüsü.

  4. Yeni bir otomasyon kuralı oluşturmak için ekranın üst yarısında Otomasyon kuralları altında + Yeni ekle'yi seçin.

  5. Yeni otomasyon kuralı oluştur panelinde, Tetikleyici'nin altında Uyarı oluşturulduğunda'yı seçin.

    Analiz kuralı ekranında otomasyon kuralı oluşturma işleminin ekran görüntüsü.

  6. Eylemler'in altında, kullanılabilir tek eylem türü olan Playbook'u çalıştır eyleminin otomatik olarak seçildiğine ve gri görüntülendiğine bakın. Aşağıdaki satırdaki açılan listede bulunanlar arasından playbook'unuzu seçin.

    Otomasyon kuralı sihirbazında playbook'u eylem olarak seçme işleminin ekran görüntüsü.

  7. Uygula’yı seçin. Yeni kural otomasyon kuralları kılavuzunda gösterilir.

  8. Playbook'u Uyarı otomasyonu (klasik) bölümünden kaldırın.

  9. Değişikliklerinizi kaydetmek için analiz kuralını gözden geçirin ve güncelleştirin .

Otomasyon sayfasından yeni bir otomasyon kuralı oluşturma

Birden çok analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız bu yordamı kullanın. Aksi takdirde analiz kuralından otomasyon kuralı oluşturma seçeneğini kullanın

  1. Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.

  2. Üst menü çubuğunda Oluştur -> Otomasyon kuralı'nı seçin.

  3. Yeni otomasyon kuralı oluştur panelindeki Tetikleyici açılan listesinde Uyarı oluşturulduğunda'yı seçin.

  4. Koşullar altında, belirli bir playbook'u veya playbook'u çalıştırmak istediğiniz analiz kurallarını seçin.

  5. Eylemler'in altında, bu kuralın çağırmasını istediğiniz her playbook için + Eylem ekle'yi seçin. Playbook'u çalıştır eylemi otomatik olarak seçilir ve gri görünür.

  6. Aşağıdaki satırdaki açılan listeden kullanılabilir playbook'lar listesinden seçim yapın. Her eylemin yanındaki yukarı/aşağı okları seçerek, eylemleri playbook'ların çalışmasını istediğiniz sıraya göre sıralayın.

  7. Otomasyon kuralını kaydetmek için Uygula'yı seçin.

  8. Playbook'u Otomatik yanıt sekmesinin Uyarı otomasyonu (klasik) bölümünden kaldırarak, bu playbook'ları çağıran analiz kuralını veya kuralları (Koşullar altında belirttiğiniz kurallar) düzenleyin.

İlgili içerik

Daha fazla bilgi için bkz.