你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Microsoft Sentinel 警报触发器 playbook 迁移到自动化规则

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍如何（以及为何）将基于警报触发器的现有 playbook 从由分析规则调用迁移到由自动化规则调用。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

为何要迁移

如果已创建并生成 playbook 以响应警报（而不是事件），并将其附加到分析规则，强烈建议将这些 playbook 移到自动化规则。 这样做具有以下优势：

• 从单个显示器管理所有自动化，无论类型如何
  （“单一虚拟管理平台”）。

• 定义一个可以为多个分析规则触发 playbook 的自动化规则，而不是单独配置每个分析规则。

• 定义警报 playbook 的执行顺序。

• 支持为运行 playbook 设置到期日期的场景。

要明白 playbook 本身根本不会改变，这一点很重要。 只有调用它来运行的机制会更改。

最后，从分析规则调用 playbook 的功能将于 2026 年 3 月弃用。 在此之前，已定义为从分析规则调用的 playbook 将继续运行，但自 2023 年 6 月起，你无法再将 playbook 添加到从分析规则调用的 playbook 列表中。 唯一剩余的选项是从自动化规则调用它们。

如何迁移

• 如果要迁移仅由一个分析规则使用的 playbook，请按照根据分析规则创建自动化规则下的说明进行操作。

• 如果要迁移由多个分析规则使用的 playbook，请按照从自动化门户创建新的自动化规则下的说明进行操作。

根据分析规则创建自动化规则

1. 对于 Azure 门户中的 Microsoft Sentinel，请选择“配置”>“分析”页面。 对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在“活动规则”下，找到已配置为运行 playbook 的分析规则。

3. 选择“编辑”。

   

4. 选择“自动响应”选项卡。

5. 可以在“警报自动化(经典)”下找到直接配置为根据此分析规则运行的 playbook。 请注意有关弃用的警告。

   

6. 在“自动化规则”（位于屏幕的上半部分）下选择“+ 新增”，以创建新的自动化规则。

7. 在“创建新的自动化规则”窗格中，“触发器”下，选择“警报创建时”。

   

8. 在“操作”下，可以看到“运行 playbook”操作是唯一可用的操作类型，它被自动选中并显示为灰色。请从以下行的下拉列表所提供的 playbook 中选择 playbook。

   

9. 选择“应用”。 现在，你将在自动化规则网格中看到新规则。

10. 从“警报自动化(经典)”部分删除 playbook。

11. 查看并更新分析规则以保存所做的更改。

从自动化门户创建新的自动化规则

1. 对于 Azure 门户中的 Microsoft Sentinel，请选择“配置”>“分析”页面。 对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“分析”。

2. 在顶部菜单栏中，选择“创建”->“自动化规则”。

3. 在“创建新的自动化规则”窗格的“触发器”下拉列表中，选择“警报创建时”。

4. 在“条件”下，选择要对其运行一个特定的 playbook 或一组 playbook 的分析规则。

5. 在“操作”下，对于希望此规则调用的每个 playbook，选择“+ 添加操作”。 “运行 playbook”操作将自动选中并灰显。请从以下行的下拉列表中的可用 playbook 的列表中进行选择。 根据所希望的 playbook 运行顺序对操作排序。 可以通过选择每个操作旁边的向上/向下箭头来更改操作的顺序。

6. 选择“应用”以保存自动化规则。

7. 编辑调用了这些 playbook 的一个或多个分析规则（在“条件”下指定的规则），从“自动响应”选项卡的“警报自动化(经典)”部分删除 playbook。

后续步骤

在本文档中，你了解了如何基于警报触发器将 playbook 从分析规则迁移到自动化规则。

• 若要详细了解自动化规则，请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁
• 若要创建自动化规则，请参阅创建和使用 Microsoft Sentinel 自动化规则来管理响应
• 有关高级自动化选项的详细信息，请参阅在 Microsoft Sentinel 中利用 playbook 自动执行威胁响应。
• 有关实施自动化规则和 playbook 方面的帮助，请参阅教程：在 Microsoft Sentinel 中使用 playbook 自动完成威胁响应。