將 Microsoft Sentinel 警示觸發程式劇本移轉至自動化規則
建議您移轉以警示觸發程式為基礎的現有劇本,並將其從分析規則叫用到自動化規則叫用。 本文說明為何建議您執行此動作,以及如何移轉劇本。
如果您要移轉只有一個分析規則使用的劇本,請遵循從分析規則建立自動化規則底下的指示。
如果您要移轉多個分析規則所使用的劇本,請遵循從 [自動化] 頁面建立新的自動化規則底下的指示。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
為何要移轉
自動化規則所叫用的劇本,而不是分析規則具有下列優點:
從單一顯示器進行自動化管理,不論類型為何(「單一玻璃窗格」)。
使用單一自動化規則來觸發多個分析規則的劇本,而不是個別設定每個分析規則。
定義要執行警示劇本的順序。
支援設定執行劇本到期日的案例。
移轉劇本觸發程式完全不會變更劇本,而且只會變更叫用劇本以執行變更的機制。
從分析規則叫用劇本的能力將會 在 2026 年 3 月生效。 在此之前,已經定義為從分析規則定義的劇本將繼續執行,但自 2023 年 6 月起,您無法再將劇本新增至從分析規則叫用的劇本清單。 唯一的其餘選項是從自動化規則叫用它們。
必要條件
您將需要:
用來建立和編輯劇本的Logic Apps 參與者 角色
Microsoft Sentinel 參與者 角色,將劇本附加至自動化規則
如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件。
從分析規則建立自動化規則
如果您要移轉只有一個分析規則使用的劇本,請使用此程式。 否則,請使用 從 [自動化] 頁面建立新的自動化規則。
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態>分析] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>組態>分析]。
在 [使用中規則] 底下,尋找已設定為執行劇本的分析規則,然後選取 [編輯]。
選取 [自動化回應] 索引標籤。直接設定為從此分析規則執行的劇本可在 [警示自動化][傳統] 下找到。 請注意即將淘汰的警告。
在畫面的上半部,選取 [自動化規則] 下的 [+ 新增] 以建立新的自動化規則。
在 [建立新的自動化規則] 面板中的 [觸發程式] 底下,選取 [建立警示時]。
在 [動作] 底下,查看 [執行劇本] 動作是唯一可用的動作類型,會自動選取並呈現灰色。從下方這一行的下拉式清單中選取您的劇本。
選取套用。 新的規則會顯示在自動化規則方格中。
從 [警示自動化] 區 段移除劇本。
檢閱並更新 分析規則,以儲存您的變更。
從 [自動化] 頁面建立新的自動化規則
如果您要移轉多個分析規則所使用的劇本,請使用此程式。 否則,請使用 從分析規則建立自動化規則
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態>分析] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>組態>分析]。
從頂端功能表欄,選取 [ 建立 -> 自動化規則]。
在 [ 建立新的自動化規則 ] 面板中的 [觸發程式 ] 下拉式清單中,選取 [ 建立警示時]。
在 [ 條件] 下,選取您要執行特定劇本或一組劇本的分析規則。
在 [動作] 下,針對您想要叫用此規則的每個劇本,選取 [+ 新增動作]。 [ 執行劇本] 動作會自動選取並呈現灰色。
從下方這一行的下拉式清單中選取可用的劇本清單。 根據您希望劇本執行的順序排序動作,方法是選取每個動作旁的向上/向下箭號。
選取 [ 套用 ] 以儲存自動化規則。
編輯叫用這些劇本的分析規則或規則(您在 [條件] 下指定的規則),從 [自動化回應] 索引標籤的 [警示自動化(傳統)] 區段移除劇本。
相關內容
如需詳細資訊,請參閱
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: