Comprendre les options d’automatisation
L’automatisation prend plusieurs formes différentes dans Microsoft Sentinel, avec notamment des règles d’automatisation qui gèrent de manière centralisée l’automatisation de la gestion et de la réponse aux incidents, et des playbooks qui exécutent des séquences d’actions prédéterminées pour fournir une automatisation avancée, puissante et flexible à vos tâches de réponse aux menaces.
Règles d’automatisation
Les règles d’automatisation permettent aux utilisateurs de gérer de manière centralisée l’automatisation du traitement des incidents. Les règles d’automatisation vous permettent également d’automatiser les réponses pour plusieurs règles analytiques à la fois, d’automatiquement étiqueter, attribuer ou fermer des incidents sans avoir besoin de playbooks, et de contrôler l’ordre des actions exécutées. Les règles d’automatisation simplifient l’utilisation de l’automatisation dans Microsoft Sentinel, et vous permettent de simplifier des flux de travail complexes pour vos processus d’orchestration d’incident.
Playbooks
Un playbook est un ensemble logique d’actions de réponse et de correction qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine. Un playbook peut vous aider à automatiser et orchestrer votre réponse aux menaces. Elle peut s’intégrer à d’autres systèmes, aussi bien internes qu’externes, et être configurée pour s’exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, en cas de déclenchement par une règle analytique ou une règle d’automatisation, respectivement. Il peut également être exécuté manuellement à la demande, en réponse aux alertes, à partir de la page Incidents.
Les playbooks dans Microsoft Sentinel sont basés sur des workflows intégrés à Azure Logic Apps, service cloud qui vous permet de planifier, d’automatiser et d’orchestrer des tâches et des workflows à travers l’entreprise. Cela signifie que les playbooks peuvent tirer parti de toute la puissance et de la personnalisation des fonctionnalités d’intégration et d’orchestration de Logic Apps, ainsi que d’outils de conception faciles à utiliser, tout en bénéficiant de l’évolutivité, de la fiabilité et du niveau de service d’un service Azure de niveau 1.