Migrace playbooků aktivujících upozornění služby Microsoft Sentinel do pravidel automatizace

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak (a proč) vzít stávající playbooky založené na triggeru upozornění a migrovat je z vyvolání analytických pravidel , aby se vyvolala pravidly automatizace.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Proč migrovat

Pokud jste už vytvořili a vytvořili playbooky pro reakci na výstrahy (místo incidentů) a připojili je k analytickým pravidlům, důrazně doporučujeme přesunout tyto playbooky do pravidel automatizace. Tím získáte následující výhody:

• Správa všech automatizací z jednoho displeje bez ohledu na typ
  ("jediné podokno skla").

• Definujte jedno pravidlo automatizace, které může aktivovat playbooky pro více analytických pravidel, místo aby každé analytické pravidlo konfigurovalo nezávisle.

• Definujte pořadí, ve kterém se budou spouštět playbooky výstrah.

• Scénáře podpory, které pro spuštění playbooku nastavují datum vypršení platnosti

Je důležité si uvědomit, že samotný playbook se vůbec nezmění. Změní se pouze mechanismus, který ho vyvolá ke spuštění.

Možnost volat playbooky z analytických pravidel bude nakonec zastaralá od března 2026. Do té doby budou playbooky, které už jsou definované tak, aby byly vyvolány z analytických pravidel, budou nadále spuštěny, ale od června 2023 už nemůžete do seznamu playbooků vyvolaných z analytických pravidel přidávat playbooky. Jedinou zbývající možností je vyvolat je z pravidel automatizace.

Jak migrovat

• Pokud migrujete playbook, který používá jenom jedno analytické pravidlo, postupujte podle pokynů v části Vytvoření pravidla automatizace z analytického pravidla.

• Pokud migrujete playbook, který používá více než jedno analytické pravidlo, postupujte podle pokynů v části Vytvoření nového pravidla automatizace z portálu Automation.

Vytvoření pravidla automatizace z analytického pravidla

1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Analýza konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Analytics.

2. V části Aktivní pravidla vyhledejte analytické pravidlo, které je už nakonfigurované pro spuštění playbooku.

3. Vyberte položku Upravit.

   

4. Vyberte kartu Automatizovaná odpověď.

5. Playbooky, které jsou přímo nakonfigurované pro spuštění z tohoto analytického pravidla, najdete v části Automatizace upozornění (classic). Všimněte si upozornění na vyřazení.

   

6. Vyberte + Přidat nové v části Pravidla automatizace (v horní polovině obrazovky) a vytvořte nové pravidlo automatizace.

7. Na panelu Vytvořit nové pravidlo automatizace v části Aktivační událost vyberte Při vytvoření výstrahy.

   

8. V části Akce uvidíte, že akce Spustit playbook , která je jediným dostupným typem akce, se automaticky vybere a zobrazí šedě. Vyberte playbook z těch, které jsou k dispozici v rozevíracím seznamu v řádku níže.

   

9. Vyberte Použít. Nové pravidlo se teď zobrazí v mřížce pravidel automatizace.

10. Odeberte playbook z části Automatizace výstrah (Classic).

11. Zkontrolujte a aktualizujte analytické pravidlo, aby se změny uložily.

Vytvoření nového pravidla automatizace z portálu Automation

1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Analýza konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Analytics.

2. V horním řádku nabídek vyberte Vytvořit –> Pravidlo automatizace.

3. Na panelu Vytvořit nové pravidlo automatizace v rozevíracím seznamu Aktivační událost vyberte Při vytvoření výstrahy.

4. V části Podmínky vyberte analytická pravidla, na kterých chcete spustit konkrétní playbook nebo sadu playbooků.

5. V části Akce u každého playbooku, který má toto pravidlo vyvolat, vyberte + Přidat akci. Akce Spustit playbook se automaticky vybere a zobrazí šedě. V rozevíracím seznamu níže vyberte ze seznamu dostupných playbooků. Sespořádejte akce podle pořadí, ve kterém mají playbooky běžet. Pořadí akcí můžete změnit tak, že vyberete šipky nahoru nebo dolů vedle každé akce.

6. Výběrem možnosti Použít pravidlo automatizace uložte.

7. Upravte analytické pravidlo nebo pravidla, která vyvolala tyto playbooky (pravidla zadaná za podmínek), a odeberte playbook z oddílu Automatizace výstrah (classic) na kartě Automatizovaná odpověď .

Další kroky

V tomto dokumentu jste zjistili, jak migrovat playbooky na základě triggeru upozornění z analytických pravidel do pravidel automatizace.

• Další informace opravidlech
• Pokud chcete vytvořit pravidla automatizace, přečtěte si téma Vytvoření a použití pravidel automatizace Microsoft Sentinelu ke správě odpovědí.
• Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
• Nápovědu k implementaci pravidel automatizace a playbooků najdete v kurzu : Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinelu.