Поделиться через

Перенос сборников схем на основе триггера оповещений Microsoft Sentinel в правила автоматизации

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Рекомендуется перенести существующие сборники схем, созданные на триггерах оповещений, и перенести их из правил аналитики в вызов правил автоматизации. В этой статье объясняется, почему мы рекомендуем это действие, и как перенести плейбуки.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Аргументы в пользу миграции

Сценарии, которые вызываются правилами автоматизации, а не аналитическими правилами, обладают следующими преимуществами:

  • Управление автоматизацией с одного дисплея независимо от типа ("одна панель стекла").

  • Используйте одно правило автоматизации, активируя сборники схем для нескольких правил аналитики, а не настраивайте каждое правило аналитики отдельно.

  • Определите порядок выполнения сборников оповещений.

  • Поддержка сценариев, которые задают дату истечения срока для выполнения планов действий.

Перенос триггера сборника схем вообще не изменяет сборник схем и изменяет только механизм, вызывающий сборник схем для выполнения изменений.

Возможность вызова сборников схем из правил аналитики будет устаревшей, начиная с марта 2026 года. До тех пор плейбуки, определенные как относящиеся к правилам аналитики, будут продолжать выполняться, но с июня 2023 года больше нельзя добавлять плейбуки в список вызываемых из правил аналитики. Единственный оставшийся вариант — вызвать их из правил автоматизации.

Предварительные условия

Вам потребуется следующее:

  • Роль Logic Apps Contributor для создания и редактирования плейбуков

  • Роль участника Microsoft Sentinel для присоединения сборника схем к правилу автоматизации

Дополнительные сведения см. в статье о предварительных требованиях для плейбуков Microsoft Sentinel.

Создание правила автоматизации из правила аналитики

Используйте эту процедуру, если вы переносите сборник схем, используемый только одним правилом аналитики. В противном случае используйте новое правило автоматизации на странице автоматизации.

  1. Для Microsoft Sentinel на портале Azure выберите страницу Configuration>Analytics . Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

  2. В разделе "Активные правила" найдите правило аналитики, уже настроенное для запуска сборника схем, и нажмите кнопку "Изменить".

    Снимок экрана: поиск и выбор правила аналитики.

  3. Перейдите на вкладку "Автоматический ответ". Сборники схем, настроенные непосредственно для запуска из этого правила аналитики, можно найти в разделе автоматизации оповещений (классическая модель). Обратите внимание на предупреждение об устаревании.

    Снимок экрана: правила автоматизации и сборники схем.

  4. В верхней половине экрана нажмите кнопку +Добавить новый элемент в разделе "Правила автоматизации ", чтобы создать новое правило автоматизации.

  5. На панели правил создания нового правила автоматизации в разделе "Триггер" выберите "При создании оповещения".

    Снимок экрана: создание правила автоматизации на экране правила аналитики.

  6. В разделе "Действия" вы увидите, что действие Run playbook, являющееся единственным доступным типом действия, автоматически выбрано и выделено серым цветом. Выберите свой плейбук из доступных в раскрывающемся списке в строке ниже.

    Снимок экрана: выбор сборника схем в качестве действия в мастере правил автоматизации.

  7. Нажмите кнопку "Применить". Новое правило отображается в сетке правил автоматизации.

  8. Удалите сборник схем из раздела автоматизации оповещений (классическая модель).

  9. Просмотрите и обновите правило аналитики, чтобы сохранить изменения.

Создать новое правило автоматизации на странице автоматизации

Используйте эту процедуру, если вы переносите сборник схем, используемый несколькими правилами аналитики. В противном случае используйте создание правила автоматизации на основании правила аналитики

  1. Для Microsoft Sentinel на портале Azure выберите страницу Configuration>Analytics . Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Configuration>Analytics.

  2. В верхней строке меню выберите "Создать правило> автоматизации".

  3. В раскрывающемся списке "Создать новое правило автоматизации " в раскрывающемся списке "Триггер " выберите "При создании оповещения".

  4. В разделе "Условия" выберите правила аналитики, в которых нужно запустить определенный сборник схем или набор сборников схем.

  5. В разделе "Действия" для каждого плейбука, который должно вызвать это правило, выберите + Добавить действие. Действие Запуск плейбука автоматически выбрано и заблокировано.

  6. Выберите из списка доступных плейбуков в выпадающем списке в строчке ниже. Упорядочите действия в порядке, в котором вы хотите выполнять плейбуки, выбрав стрелки вверх и вниз рядом с каждым действием.

  7. Нажмите кнопку "Применить" , чтобы сохранить правило автоматизации.

  8. Измените правило аналитики или правила, которые вызвали эти сборники схем (правила, указанные в условиях), удалив сборник схем из раздела автоматизации оповещений (классической) вкладки "Автоматический ответ ".

Связанный контент

Дополнительные сведения см. в разделе:

  • Last updated on