Microsoft Sentinel uyarı tetikleyicisi playbook'larınızı otomasyon kurallarına geçirme
Uyarı tetikleyicileri üzerine oluşturulmuş mevcut playbook'ları geçirmenizi ve bunları analiz kuralları tarafından çağrılmalarından otomasyon kuralları tarafından çağrılmaya geçirmenizi öneririz. Bu makalede bu eylemi neden önerdiğimiz ve playbook'larınızı nasıl geçirebileceğimiz açıklanmaktadır.
Yalnızca bir analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız Analiz kuralından otomasyon kuralı oluşturma altındaki yönergeleri izleyin.
Birden çok analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız Otomasyon sayfasından Yeni otomasyon kuralı oluşturma altındaki yönergeleri izleyin.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Geçiş neden
Analiz kuralları yerine otomasyon kuralları tarafından çağrılan playbook'ların avantajları şunlardır:
Türe bakılmaksızın tek bir ekrandan otomasyon yönetimi ("tek bölmeli cam").
Her analiz kuralını ayrı ayrı yapılandırmak yerine birden çok analiz kuralı için playbook'ları tetikleyen tek bir otomasyon kuralı kullanın.
Uyarı playbook'larının yürütülecek sırasını tanımlayın.
Playbook çalıştırmak için son kullanma tarihi ayarlayan senaryolar için destek.
Playbook tetikleyicinizin geçirilmesi playbook'u hiç değiştirmez ve yalnızca değişiklikleri çalıştırmak için playbook'u çağıran mekanizmayı değiştirir.
Playbook'ları analiz kurallarından çağırma özelliği Mart 2026'dan itibaren kullanımdan kaldırılacaktır. O zamana kadar analiz kurallarından olarak tanımlanmış playbook'lar çalışmaya devam edecektir, ancak Haziran 2023'ten itibaren analiz kurallarından çağrılanlar listesine playbook'lar ekleyemezsiniz. Kalan tek seçenek, bunları otomasyon kurallarından çağırmaktır.
Önkoşullar
Aşağıdakilere ihtiyacınız olacaktır:
Playbook'ları oluşturmak ve düzenlemek için Logic Apps Katkıda Bulunanı rolü
Otomasyon kuralına playbook eklemek için Microsoft Sentinel Katkıda Bulunanı rolü
Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.
Analiz kuralından otomasyon kuralı oluşturma
Yalnızca bir analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız bu yordamı kullanın. Aksi takdirde Otomasyon sayfasından Yeni otomasyon kuralı oluştur'u kullanın.
Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.
Etkin kurallar'ın altında, playbook çalıştırmak için zaten yapılandırılmış bir analiz kuralı bulun ve Düzenle'yi seçin.
Otomatik yanıt sekmesini seçin. Bu analiz kuralından çalıştırılacak şekilde doğrudan yapılandırılmış playbook'lar Uyarı otomasyonu (klasik) altında bulunabilir. Kullanımdan kaldırmayla ilgili uyarıya dikkat edin.
Yeni bir otomasyon kuralı oluşturmak için ekranın üst yarısında Otomasyon kuralları altında + Yeni ekle'yi seçin.
Yeni otomasyon kuralı oluştur panelinde, Tetikleyici'nin altında Uyarı oluşturulduğunda'yı seçin.
Eylemler'in altında, kullanılabilir tek eylem türü olan Playbook'u çalıştır eyleminin otomatik olarak seçildiğine ve gri görüntülendiğine bakın. Aşağıdaki satırdaki açılan listede bulunanlar arasından playbook'unuzu seçin.
Uygula’yı seçin. Yeni kural otomasyon kuralları kılavuzunda gösterilir.
Playbook'u Uyarı otomasyonu (klasik) bölümünden kaldırın.
Değişikliklerinizi kaydetmek için analiz kuralını gözden geçirin ve güncelleştirin .
Otomasyon sayfasından yeni bir otomasyon kuralı oluşturma
Birden çok analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız bu yordamı kullanın. Aksi takdirde analiz kuralından otomasyon kuralı oluşturma seçeneğini kullanın
Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.
Üst menü çubuğunda Oluştur -> Otomasyon kuralı'nı seçin.
Yeni otomasyon kuralı oluştur panelindeki Tetikleyici açılan listesinde Uyarı oluşturulduğunda'yı seçin.
Koşullar altında, belirli bir playbook'u veya playbook'u çalıştırmak istediğiniz analiz kurallarını seçin.
Eylemler'in altında, bu kuralın çağırmasını istediğiniz her playbook için + Eylem ekle'yi seçin. Playbook'u çalıştır eylemi otomatik olarak seçilir ve gri görünür.
Aşağıdaki satırdaki açılan listeden kullanılabilir playbook'lar listesinden seçim yapın. Her eylemin yanındaki yukarı/aşağı okları seçerek, eylemleri playbook'ların çalışmasını istediğiniz sıraya göre sıralayın.
Otomasyon kuralını kaydetmek için Uygula'yı seçin.
Playbook'u Otomatik yanıt sekmesinin Uyarı otomasyonu (klasik) bölümünden kaldırarak, bu playbook'ları çağıran analiz kuralını veya kuralları (Koşullar altında belirttiğiniz kurallar) düzenleyin.
İlgili içerik
Daha fazla bilgi için bkz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin