Перенос сборников схем на основе триггера оповещений Microsoft Sentinel в правила автоматизации

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как (и почему) принимать существующие сборники схем, созданные на триггере оповещения, и переносить их из правил аналитики в вызов правил автоматизации.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Аргументы в пользу миграции

Если вы уже создали сборники схем для реагирования на оповещения (а не инциденты) и связали их с правилами аналитики, настоятельно рекомендуем перевести эти сборники схем на правила автоматизации. Это даст вам следующие преимущества:

• Управление всеми автоматизациями любого типа на одной панели
  (унифицированная панель управления).

• Определение одного правила автоматизации, которое может активировать сборники схем для нескольких правил аналитики, чтобы не настраивать каждое правило аналитики независимо.

• Определение порядка выполнения сборников схем оповещений.

• Поддержка сценариев с датой окончания срока действия для запуска сборника схем.

Важно понимать, что сам сборник схем не изменится. Изменится только механизм, запускающий его.

Наконец, возможность вызова сборников схем из правил аналитики будет устарела в марте 2026 года. До тех пор сборники схем, которые уже определены для вызова из правил аналитики, будут продолжать выполняться, но по состоянию на июнь 2023 г. больше нельзя добавлять сборники схем в список вызываемых из правил аналитики. Единственный оставшийся вариант — вызвать их из правил автоматизации.

Способы миграции

• Если вы переносите сборник схем, используемый только одним правилом аналитики, следуйте инструкциям в разделе Создание правила автоматизации из правила аналитики.

• Если вы переносите сборник схем, используемый несколькими правилами аналитики, следуйте инструкциям в разделе Создание правила автоматизации на портале автоматизации.

Создание правила автоматизации из правила аналитики

1. Для Microsoft Sentinel в портал Azure выберите страницу "Аналитика конфигурации>". Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

2. В разделе Активные правила найдите правило аналитики, уже настроенное для запуска сборника схем.

3. Выберите Изменить.

   

4. Выберите вкладку Автоматический ответ.

5. Сборники схем, напрямую настроенные для запуска из этого правила аналитики, можно найти в разделе Автоматизации оповещений (классическая модель). Обратите внимание на предупреждение об устаревании.

   

6. Нажмите кнопку "+ Добавить новый" в разделе "Правила автоматизации" (в верхней половине экрана), чтобы создать новое правило автоматизации.

7. На панели правил создания нового правила автоматизации в разделе "Триггер" выберите "При создании оповещения".

   

8. В разделе Действия вы увидите, что автоматически выбрано единственное доступное действие — Запустить сборник схем. Выберите свой сборник схем в раскрывающемся списке ниже.

   

9. Выберите Применить. Новое правило будет отображаться в сетке правил автоматизации.

10. Удалите сборник схем из раздела Автоматизация оповещений (классическая модель).

11. Просмотрите и обновите правило аналитики, чтобы сохранить изменения.

Создание правила автоматизации на портале автоматизации

1. Для Microsoft Sentinel в портал Azure выберите страницу "Аналитика конфигурации>". Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

2. В верхней строке меню выберите Создать -> Правило автоматизации.

3. В раскрывающемся списке "Создать новое правило автоматизации" в раскрывающемся списке "Триггер " выберите "При создании оповещения".

4. В разделе Условия выберите правила аналитики, по которым нужно запустить определенный сборник схем или набор сборников схем.

5. В разделе Действия для каждого сборника схем, который это правило должно активировать, нажмите + Добавить действие. Действие Запустить сборник схем будет автоматически выбрано и выделено серым цветом. Выберите сборник схем в раскрывающемся списке в строке ниже. Упорядочите действия в соответствии с порядком выполнения сборников схем. Порядок действий можно изменить, выбрав стрелки вверх и вниз рядом с каждым действием.

6. Нажмите Применить, чтобы сохранить правило автоматизации.

7. Измените одно или несколько правил аналитики, которые вызывали эти сборники схем (правила, указанные в разделе Условия), удалив сборник схем из раздела Автоматизация оповещений (классическая) на вкладке Автоматический ответ.

Следующие шаги

В этом документе вы узнали, как перенести сборники схем на основе триггера оповещения из правил аналитики в правила автоматизации.

• Дополнительные сведения о правилах автоматизации см. в статье Автоматизация реагирования на угрозы с помощью правил автоматизации в Microsoft Sentinel.
• Чтобы создавать правила автоматизации, см. раздел Создание и использование правил автоматизации Microsoft Sentinel для управления инцидентами
• Дополнительные сведения о расширенных параметрах автоматизации см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
• Справку по реализации правил автоматизации и сборников схем см. в учебнике Использование сборников схем для автоматизации реагирования на угрозы в Microsoft Sentinel.