將 Microsoft Sentinel 警示觸發程序劇本移轉至自動化規則
建議您移轉以警示觸發程序為基礎的現有劇本,並將其從由 分析規則叫用, 移轉至 自動化規則所叫用。 本文說明為何建議您執行此動作,以及如何移轉劇本。
如果您要移轉只有一個分析規則使用的劇本,請遵循 從分析規則建立自動化規則 下的指示。
如果您要移轉多個分析規則所使用的劇本,請遵循 從自動化頁面建立新自動化規則 的指示。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
為何要遷移
自動化規則叫用的劇本 (而非分析規則) 具有下列優點:
從單一顯示器進行自動化管理,不論類型為何(「單一玻璃窗格」)。
使用單一自動化規則來觸發多個分析規則的劇本,而不是個別設定每個分析規則。
定義警示劇本執行的順序。
支援設定執行劇本到期日的案例。
移轉劇本觸發程序完全不會變更劇本,而且只會變更叫用劇本以執行變更的機制。
從分析規則叫用劇本的能力將會 在 2026 年 3 月淘汰。 在此之前,已經定義為分析規則的劇本將繼續執行,但截至 2023 年 6 月 您無法再將劇本新增至從分析規則叫用的劇本清單。 唯一的其餘選項是從自動化規則叫用它們。
必要條件
您將需要:
Logic Apps 參與者 角色來建立和編輯劇本
Microsoft Sentinel 參與者 角色,將劇本附加至自動化規則
如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件 (部分機器翻譯)。
從分析規則建立自動化規則
如果您要移轉只有一個分析規則使用的劇本,請使用此程序。 否則,請使用 從 [自動化] 頁面建立新的自動化規則。
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態]>[Analytics] 頁面。 針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[組態]>[Analytics]。
在 [作用中規則] 下方,尋找已設定為執行劇本的分析規則,然後選取 [編輯]。
選取 [自動回應] 索引標籤。在 [警示自動化 (傳統)] 中可以找到直接設定要從此分析規則執行的劇本。 請注意即將淘汰的警告。
在畫面的上半部,選取 [自動化規則] 下方的 [+ 新增],以建立新的自動化規則。
在 [建立新的自動化規則] 面板中,於 [觸發程序] 下方,選取 [建立警示時]。
在 [動作] 下方,查看 [執行劇本] 動作,是唯一可用的動作類型,會自動選取並呈現灰色。從下面這一行的下拉式清單中選取您的劇本。
選取套用。 新的規則會顯示在自動化規則方格中。
從 [警示自動化 (傳統)] 區段中移除劇本。
檢閱並更新分析規則以儲存變更。
從 [自動化] 頁面建立新的自動化規則
如果您要移轉多個分析規則所使用的劇本,請使用此程序。 否則,請使用 從分析規則建立自動化規則
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態]>[Analytics] 頁面。 針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[組態]>[Analytics]。
從頂端功能表列中,選取 [建立 -> 自動化規則]。
在 [建立新的自動化規則] 面板中,於 [觸發程序] 下拉式清單中,選取 [建立警示時]。
在 [條件] 之下,選取您要據以執行特定劇本或一組劇本的分析規則。
在 [動作] 之下,針對您想要叫用此規則的每個劇本,選取 [+ 新增動作]。 執行劇本 動作會自動選取並呈現灰色。
從下面這一行的下拉式清單中選取可用的劇本清單。 根據您希望劇本執行的順序排序動作,方法是選取每個動作旁的向上/向下箭號。
選取 [套用] 以儲存自動化規則。
編輯叫用了這些劇本的分析規則 (您在 [條件] 之下指定的規則),從 [自動回應] 索引標籤的 [警示自動化 (傳統)] 區段移除劇本。
相關內容
如需詳細資訊,請參閱