Поделиться через


Перенос сборников схем на основе триггера оповещений Microsoft Sentinel в правила автоматизации

Рекомендуется перенести существующие сборники схем, созданные на триггерах оповещений, и перенести их из правил аналитики в вызов правил автоматизации. В этой статье объясняется, почему мы рекомендуем это действие и как перенести сборники схем.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Аргументы в пользу миграции

Сборники схем, которые вызываются правилами автоматизации, а не правилами аналитики, имеют следующие преимущества:

  • Управление автоматизацией с одного дисплея независимо от типа ("одна панель стекла").

  • Используйте одно правило автоматизации, активируя сборники схем для нескольких правил аналитики, а не настраивайте каждое правило аналитики отдельно.

  • Определите порядок выполнения сборников оповещений.

  • Поддержка сценариев, которые задают дату окончания срока действия для запуска сборника схем.

Перенос триггера сборника схем вообще не изменяет сборник схем и изменяет только механизм, вызывающий сборник схем для выполнения изменений.

Возможность вызова сборников схем из правил аналитики будет устарела в марте 2026 года. До тех пор сборники схем, которые уже определены как из правил аналитики, будут продолжать выполняться, но по состоянию на июнь 2023 г. больше нельзя добавлять сборники схем в список вызываемых из правил аналитики. Единственный оставшийся вариант — вызвать их из правил автоматизации.

Необходимые компоненты

Вам потребуется следующее:

  • Роль участника Logic Apps для создания и редактирования сборников схем

  • Роль участника Microsoft Sentinel для присоединения сборника схем к правилу автоматизации

Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.

Создание правила автоматизации из правила аналитики

Используйте эту процедуру, если вы переносите сборник схем, используемый только одним правилом аналитики. В противном случае используйте новое правило автоматизации на странице автоматизации.

  1. Для Microsoft Sentinel в портал Azure выберите страницу "Аналитика конфигурации>". Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

  2. В разделе "Активные правила" найдите правило аналитики, уже настроенное для запуска сборника схем, и нажмите кнопку "Изменить".

    Снимок экрана: поиск и выбор правила аналитики.

  3. Выберите вкладку "Автоматический ответ". Сборники схем, настроенные непосредственно для запуска из этого правила аналитики, можно найти в разделе автоматизации оповещений (классическая модель). Обратите внимание на предупреждение об устаревании.

    Снимок экрана: правила автоматизации и сборники схем.

  4. В верхней половине экрана нажмите кнопку +Добавить новый элемент в разделе "Правила автоматизации", чтобы создать новое правило автоматизации.

  5. На панели правил создания нового правила автоматизации в разделе "Триггер" выберите "При создании оповещения".

    Снимок экрана: создание правила автоматизации на экране правил аналитики.

  6. В разделе Действия вы увидите, что автоматически выбрано единственное доступное действие — Запустить сборник схем. Выберите свой сборник схем в раскрывающемся списке ниже.

    Снимок экрана: выбор сборника схем для действия в мастере правила автоматизации.

  7. Выберите Применить. Новое правило отображается в сетке правил автоматизации.

  8. Удалите сборник схем из раздела Автоматизация оповещений (классическая модель).

  9. Просмотрите и обновите правило аналитики, чтобы сохранить изменения.

Создание правила автоматизации на странице автоматизации

Используйте эту процедуру, если вы переносите сборник схем, используемый несколькими правилами аналитики. В противном случае используйте правило автоматизации из правила аналитики

  1. Для Microsoft Sentinel в портал Azure выберите страницу "Аналитика конфигурации>". Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

  2. В верхней строке меню выберите Создать -> Правило автоматизации.

  3. В раскрывающемся списке "Создать новое правило автоматизации" в раскрывающемся списке "Триггер " выберите "При создании оповещения".

  4. В разделе Условия выберите правила аналитики, по которым нужно запустить определенный сборник схем или набор сборников схем.

  5. В разделе Действия для каждого сборника схем, который это правило должно активировать, нажмите + Добавить действие. Действие сборника схем run автоматически выбрано и снято серым цветом.

  6. Выберите из списка доступных сборников схем в раскрывающемся списке в строке ниже. Упорядочение действий в соответствии с порядком выполнения сборников схем, выбрав стрелки вверх и вниз рядом с каждым действием.

  7. Нажмите Применить, чтобы сохранить правило автоматизации.

  8. Измените одно или несколько правил аналитики, которые вызывали эти сборники схем (правила, указанные в разделе Условия), удалив сборник схем из раздела Автоматизация оповещений (классическая) на вкладке Автоматический ответ.

Дополнительные сведения см. в разделе: