Migrieren Sie Ihre Microsoft Sentinel-Warnungsauslöser-Playbooks zu Automatisierungsregeln
In diesem Artikel wird erläutert, wie (und warum) Sie Ihre vorhandenen Playbooks, die auf dem Warnungsauslöser basieren, vom Aufruf durch Analyseregeln zum Aufruf durch Automatisierungsregeln migrieren können.
Wichtig
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations Platform im Microsoft Defender Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Vorteile der Migration
Wenn Sie bereits Playbooks erstellt und erstellt haben, um auf Warnungen (und nicht auf Vorfälle) zu reagieren, und sie an Analyseregeln angehängt haben, empfehlen wir Ihnen dringend, diese Playbooks in Automatisierungsregeln zu verschieben. Dadurch haben Sie folgende Vorteile:
Verwalten Sie alle Ihre Automatisierungen von einem einzigen Display aus, unabhängig vom Typ
(„ein einziges Fenster”).Definieren Sie eine einzelne Automatisierungsregel, die Playbooks für mehrere Analyseregeln auslösen kann, anstatt jede Analyseregel einzeln zu konfigurieren.
Definieren Sie die Reihenfolge, in der Warnungs-Playbooks ausgeführt werden.
Unterstützungsszenarien, die ein Ablaufdatum für die Ausführung eines Playbooks festlegen.
Es ist wichtig zu verstehen, dass sich das Playbook selbst überhaupt nicht ändert. Nur der Mechanismus, der es zur Ausführung aufruft, wird sich ändern.
Schließlich wird die Möglichkeit, Playbooks von Analyseregeln aus aufzurufen, ab März 2026 veraltet sein. Bis dahin werden Playbooks, die bereits für das Aufrufen über Analyseregeln definiert sind, weiterhin ausgeführt, aber ab Juni 2023 können Sie keine Playbooks mehr der Liste der über Analyseregeln aufgerufenen Playbooks hinzufügen. Die einzige verbleibende Option besteht darin, sie über Automatisierungsregeln aufzurufen.
Vorgehensweise zum Migrieren
Wenn Sie ein Playbook migrieren, das nur von einer Analyseregel verwendet wird, befolgen Sie die Anweisungen unter Erstellen einer Automatisierungsregel aus einer Analyseregel.
Wenn Sie ein Playbook migrieren, das von mehr als einer Analyseregel verwendet wird, befolgen Sie die Anweisungen unter Erstellen einer neuen Automatisierungsregel im Automation-Portal.
Erstellen Sie eine Automatisierungsregel aus einer Analyseregel
Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsanalyse> aus. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse> aus.
Suchen Sie unter aktive Regeln nach einer Analyseregel, die bereits zum Ausführen eines Playbooks konfiguriert ist.
Wählen Sie Bearbeiten aus.
Wählen Sie die Registerkarte Automatisierte Antwort.
Playbooks, die direkt so konfiguriert sind, dass sie von dieser Analyseregel ausgeführt werden, finden Sie unter Warnungs-Automatisierung (klassisch). Beachten Sie die Warnung zur Veraltung.
Wählen Sie + Neue hinzufügen unter Azure Automation-Regeln (in der oberen Hälfte des Bildschirms), um eine neue Automation-Regel zu erstellen.
Wählen Sie im Bereich Neue Automation-Regel erstellen unter Auslöser die Option Wenn Warnung erstellt wird aus.
Unter Aktionen sehen Sie, dass die Aktion Playbook ausführen, die der einzige verfügbare Aktionstyp ist, automatisch ausgewählt und ausgegraut ist. Wählen Sie Ihr Playbook aus den verfügbaren in der Dropdown-Liste in der Zeile darunter aus.
Wählen Sie Übernehmen. Sie sehen nun die neue Regel im Automatisierungsregelraster.
Entfernen Sie das Playbook aus dem Abschnitt Alert-Automatisierung (klassisch).
Überprüfen und aktualisieren Sie die Analyseregel, um Ihre Änderungen zu speichern.
Erstellen Sie im Azure Automation Portal eine neue Azure Automatisierungsregel
Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsanalyse> aus. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel >Konfigurationsanalyse> aus.
Wählen Sie in der oberen Menüleiste Erstellen -> Azure Automation-Regel aus.
Wählen Sie im Bereich Neue Automation-Regel erstellen in der Dropdown-Liste Auslöser die Option Wenn Warnung erstellt wird aus.
Wählen Sie unter Bedingungen die Analyseregeln aus, für die Sie ein bestimmtes Playbook oder eine Reihe von Playbooks ausführen möchten.
Wählen Sie unter Aktionen für jedes Playbook, das diese Regel aufrufen soll, die Option + Aktion hinzufügen aus. Die Aktion Playbook ausführen wird automatisch ausgewählt und ausgegraut. Wählen Sie aus der Liste der verfügbaren Playbooks in der Dropdown-Liste in der Zeile darunter aus. Ordnen Sie die Aktionen entsprechend der Reihenfolge an, in der die Playbooks ausgeführt werden sollen. Sie können die Reihenfolge der Aktionen ändern, indem Sie die Pfeile nach oben/unten neben den betreffenden Aktionen auswählen.
Wählen Sie Anwenden aus, um die Automatisierungsregel zu speichern.
Bearbeiten Sie die Analyseregel oder -regeln, die diese Playbooks aufgerufen haben (die Regeln, die Sie unter Bedingungen angegeben haben), und entfernen Sie das Playbook aus dem Abschnitt Warnungsautomatisierung (klassisch) der Registerkarte Automatisierte Antwort.
Nächste Schritte
In diesem Dokument haben Sie gelernt, wie Sie Playbooks basierend auf dem Warnungsauslöser von Analyseregeln zu Azure Automation-Regeln migrieren.
- Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln
- Informationen zum Erstellen von Automatisierungsregeln finden Sie unter Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln zum Verwalten von Antworten
- Weitere Informationen zu den erweiterten Automatisierungsoptionen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.
- Hilfe beim Implementieren von Automatisierungsregeln und Playbooks finden Sie im Tutorial: Verwenden von Playbooks zum Automatisieren von Reaktionen auf Bedrohungen in Microsoft Sentinel.