将 Microsoft Sentinel 警报触发器 playbook 迁移到自动化规则

  • 项目

本文介绍如何(以及为何)将基于警报触发器的现有 playbook 从由分析规则调用迁移到由自动化规则调用。

为何要迁移

如果已创建并生成 playbook 以响应警报(而不是事件),并将其附加到分析规则,强烈建议将这些 playbook 移到自动化规则。 这样做具有以下优势:

  • 从单个显示器管理所有自动化(无论类型如何)
    (“单一虚拟管理平台”)。

  • 定义一个可以为多个分析规则触发剧本的自动化规则,而不是单独配置每个分析规则。

  • 定义警报 playbook 的执行顺序。

  • 支持为运行 playbook 设置到期日期的场景。

要明白 playbook 本身根本不会改变,这一点很重要。 只有调用它来运行的机制会更改。

最后,从分析规则调用 playbook 的功能将于 2026 年 3 月弃用。 在此之前,已定义为从分析规则调用的 playbook 将继续运行,但自 2023 年 6 月起,你无法再将 playbook 添加到从分析规则调用的 playbook 列表中。 唯一剩余的选项是从自动化规则调用它们。

如何迁移

根据分析规则创建自动化规则

  1. 从主导航菜单中,选择“分析”。

  2. 在“活动规则”下,找到已配置为运行 playbook 的分析规则。

  3. 选择“编辑”。

    Screenshot of finding and selecting an analytics rule.

  4. 选择“自动响应”选项卡。

  5. 可以在“警报自动化(经典)”下找到直接配置为根据此分析规则运行的 playbook。 请注意有关弃用的警告。

    Screenshot of automation rules and playbooks screen.

  6. 在“自动化规则”(位于屏幕的上半部分)下选择“+ 新增”,以创建新的自动化规则。

  7. 在“创建新的自动化规则”窗格中,“触发器”下,选择“警报创建时”。

    Screenshot of creating automation rule in analytics rule screen.

  8. 在“操作”下,可以看到“运行 playbook”操作是唯一可用的操作类型,它被自动选中并显示为灰色。请从以下行的下拉列表所提供的 playbook 中选择 playbook。

    Screenshot of selecting playbook as action in automation rule wizard.

  9. 单击“应用”。 现在,你将在自动化规则网格中看到新规则。

  10. 从“警报自动化(经典)”部分删除 playbook。

  11. 查看并更新分析规则以保存所做的更改。

从自动化门户创建新的自动化规则

  1. 从主导航菜单中,选择“自动化”。

  2. 在顶部菜单栏中,选择“创建”->“自动化规则”。

  3. 在“创建新的自动化规则”窗格的“触发器”下拉列表中,选择“警报创建时”。

  4. 在“条件”下,选择要对其运行一个特定的 playbook 或一组 playbook 的分析规则。

  5. 在“操作”下,对于希望此规则调用的每个 playbook,选择“+ 添加操作”。 “运行 playbook”操作将自动选中并灰显。请从以下行的下拉列表中的可用 playbook 的列表中进行选择。 根据所希望的 playbook 运行顺序对操作排序。 可以通过选择每个操作旁边的向上/向下箭头来更改操作的顺序。

  6. 选择“应用”以保存自动化规则。

  7. 编辑调用了这些 playbook 的一个或多个分析规则(在“条件”下指定的规则),从“自动响应”选项卡的“警报自动化(经典)”部分删除 playbook。

后续步骤

在本文档中,你了解了如何基于警报触发器将 playbook 从分析规则迁移到自动化规则。