Microsoft Sentinel uyarı tetikleyicisi playbook'larınızı otomasyon kurallarına geçirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, uyarı tetikleyicisi üzerinde oluşturulan mevcut playbook'larınızı alma ve analiz kuralları tarafından çağrılmalarından otomasyon kuralları tarafından çağrılmaya geçirme işlemleri (ve nedeni) açıklanmaktadır.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Geçiş neden

Uyarılara (olaylar yerine) yanıt vermek için zaten playbook'lar oluşturup oluşturduysanız ve bunları analiz kurallarına eklediyseniz, bu playbook'ları otomasyon kurallarına taşımanızı kesinlikle öneririz. Bunu yapmak size aşağıdaki avantajları sağlar:

• Türe bakılmaksızın tüm otomasyonlarınızı tek bir ekrandan yönetin
  ("tek bölmeli cam").

• Her analiz kuralını bağımsız olarak yapılandırmak yerine birden çok analiz kuralı için playbook'ları tetikleyebilecek tek bir otomasyon kuralı tanımlayın.

• Uyarı playbook'larının yürütüleceği sırayı tanımlayın.

• Playbook çalıştırmak için son kullanma tarihi ayarlayan senaryoları destekleyin.

Playbook'un kendisinin hiç değişmeyeceğini anlamak önemlidir. Yalnızca çalıştırmak için çağıran mekanizma değişir.

Son olarak, playbook'ları analiz kurallarından çağırma özelliği Mart 2026'dan itibaren kullanımdan kaldırılacaktır. O zamana kadar, analiz kurallarından çağrılmak üzere zaten tanımlanmış playbook'lar çalışmaya devam edecektir, ancak Haziran 2023'ten itibaren artık analiz kurallarından çağrılanlar listesine playbook'lar ekleyemezsiniz. Kalan tek seçenek, bunları otomasyon kurallarından çağırmaktır.

Geçiş yapma

• Yalnızca bir analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız Analiz kuralından otomasyon kuralı oluşturma altındaki yönergeleri izleyin.

• Birden fazla analiz kuralı tarafından kullanılan bir playbook'u geçiriyorsanız Otomasyon portalından yeni otomasyon kuralı oluşturma altındaki yönergeleri izleyin.

Analiz kuralından otomasyon kuralı oluşturma

1. Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.

2. Etkin kurallar'ın altında, playbook çalıştırmak için zaten yapılandırılmış bir analiz kuralı bulun.

3. Düzenle'yi seçin.

   

4. Otomatik yanıt sekmesini seçin.

5. Bu analiz kuralından çalıştırılacak şekilde doğrudan yapılandırılmış playbook'lar Uyarı otomasyonu (klasik) altında bulunabilir. Kullanımdan kaldırmayla ilgili uyarıya dikkat edin.

   

6. Yeni bir otomasyon kuralı oluşturmak için Otomasyon kuralları (ekranın üst yarısında) altında + Yeni ekle'yi seçin.

7. Yeni otomasyon kuralı oluştur panelinde, Tetikleyici'nin altında Uyarı oluşturulduğunda'yı seçin.

   

8. Eylemler'in altında, kullanılabilir tek eylem türü olan Playbook'u çalıştır eyleminin otomatik olarak seçildiğine ve gri görüntülendiğine bakın. Aşağıdaki satırdaki açılan listede bulunanlar arasından playbook'unuzu seçin.

   

9. Uygula’yı seçin. Şimdi otomasyon kuralları kılavuzunda yeni kuralı göreceksiniz.

10. Playbook'u Uyarı otomasyonu (klasik) bölümünden kaldırın.

11. Değişikliklerinizi kaydetmek için analiz kuralını gözden geçirin ve güncelleştirin .

Otomasyon portalından yeni bir otomasyon kuralı oluşturma

1. Azure portalında Microsoft Sentinel için Yapılandırma>Analizi sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Analizi'ni seçin.

2. Üst menü çubuğunda Oluştur -> Otomasyon kuralı'nı seçin.

3. Yeni otomasyon kuralı oluştur panelindeki Tetikleyici açılan listesinde Uyarı oluşturulduğunda'yı seçin.

4. Koşullar altında, belirli bir playbook'u veya playbook'u çalıştırmak istediğiniz analiz kurallarını seçin.

5. Eylemler'in altında, bu kuralın çağırmasını istediğiniz her playbook için + Eylem ekle'yi seçin. Playbook'u çalıştır eylemi otomatik olarak seçilir ve gri görünür. Aşağıdaki satırdaki açılan listeden kullanılabilir playbook'lar listesinden seçim yapın. Eylemleri, playbook'ların çalıştırılmasını istediğiniz sıraya göre sıralar. Her eylemin yanındaki yukarı/aşağı okları seçerek eylemlerin sırasını değiştirebilirsiniz.

6. Otomasyon kuralını kaydetmek için Uygula'yı seçin.

7. Playbook'u Otomatik yanıt sekmesinin Uyarı otomasyonu (klasik) bölümünden kaldırarak, bu playbook'ları çağıran analiz kuralını veya kuralları (Koşullar altında belirttiğiniz kurallar) düzenleyin.

Sonraki adımlar

Bu belgede, analiz kurallarından otomasyon kurallarına uyarı tetikleyicisine göre playbook'ları geçirmeyi öğrendiniz.

• Otomasyon kuralları hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'de otomasyon kurallarıyla tehdit yanıtlarını otomatikleştirme
• Otomasyon kuralları oluşturmak için bkz . Yanıtı yönetmek için Microsoft Sentinel otomasyon kuralları oluşturma ve kullanma
• Gelişmiş otomasyon seçenekleri hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme.
• Otomasyon kurallarını ve playbook'ları uygulama konusunda yardım için bkz . Öğretici: Microsoft Sentinel'de tehdit yanıtlarını otomatikleştirmek için playbook'ları kullanma.