通过

将 Microsoft Sentinel 警报触发器 playbook 迁移到自动化规则

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

建议迁移基于警报触发器构建的现有 playbook,并将其从由分析规则调用迁移到由自动化规则调用。 本文介绍为何建议执行此操作以及如何迁移 playbook。

为何要迁移

由自动化规则而不是分析规则调用的 Playbook 具有以下优势:

  • 从单个显示器进行自动化管理,而不考虑类型(“单一玻璃窗格”)。

  • 为多个分析规则使用一个由自动化规则触发的 playbook,而不是单独配置每个分析规则。

  • 定义警报 playbook 的执行顺序。

  • 支持为运行 playbook 设置到期日期的方案。

迁移 playbook 触发器完全不会更改 playbook,只会更改调用 playbook 以运行更改的机制。

从分析规则调用 playbook 的功能将于 2026 年 3 月弃用。 在此之前,已定义为通过分析规则调用的 playbook 将继续运行,但自 2023 年 6 月起,你无法再将 playbook 添加到由分析规则调用的 playbook 列表中。 唯一剩余的选项是从自动化规则调用它们。

先决条件

你将需要:

  • 用于创建和编辑 playbook 的逻辑应用参与者角色

  • 用于将 playbook 附加到自动化规则的 Microsoft Sentinel 参与者角色

有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件

根据分析规则创建自动化规则

如果要迁移只由一个分析规则使用的 playbook,请使用此过程。 否则,请使用从自动化页面创建新的自动化规则

  1. Azure 门户中,选择“配置”>“分析”页。

  2. 在“活动规则”下,找到已配置为运行 playbook 的分析规则,然后选择“编辑”。

    屏幕截图显示如何查找和选择分析规则。

  3. 选择“自动响应”选项卡。可以在“警报自动化(经典)”下找到直接配置为根据此分析规则运行的 playbook。 请注意有关弃用的警告。

    自动化规则和 playbook 屏幕的屏幕截图。

  4. 在屏幕的上半部分,选择“自动化规则”下的“+ 新增”,以创建新的自动化规则

  5. 在“创建新的自动化规则”窗格中,“触发器”下,选择“警报创建时”。

    屏幕截图显示如何在分析规则屏幕中创建自动化规则。

  6. 在“操作”下,可以看到“运行 playbook”操作是唯一可用的操作类型,它被自动选中并显示为灰色。请从以下行的下拉列表所提供的 playbook 中选择 playbook。

    屏幕截图显示如何在自动化规则向导中选择 playbook 作为操作。

  7. 选择“应用”。 新规则会显示在自动化规则网格中。

  8. 从“警报自动化(经典)”部分删除 playbook。

  9. 查看并更新分析规则以保存所做的更改。

从自动化页面创建新的自动化规则

如果要迁移多个分析规则使用的剧本,请使用此过程。 否则,请使用根据分析规则创建自动化规则

  1. Azure 门户中,选择“配置”>“自动化”页

  2. 在顶部菜单栏中,选择“创建”->“自动化规则”。

  3. 在“创建新的自动化规则”窗格的“触发器”下拉列表中,选择“警报创建时”。

  4. 在“条件”下,选择要对其运行一个特定的 playbook 或一组 playbook 的分析规则。

  5. 在“操作”下,对于希望此规则调用的每个 playbook,选择“+ 添加操作”。 “运行 playbook”操作会自动选中并灰显。

  6. 从下行的下拉列表中的可用 playbook 列表中选择。 根据你希望 playbook 运行的顺序对操作进行排序,方法是选择每个操作旁边的向上/向下箭头。

  7. 选择“应用”以保存自动化规则。

  8. 编辑调用了这些 playbook 的一个或多个分析规则(在“条件”下指定的规则),从“自动响应”选项卡的“警报自动化(经典)”部分删除 playbook。

相关内容

有关详细信息,请参阅: