了解自動化選項
自動化在 Microsoft Sentinel 中採用幾種不同的形式。 從集中管理事件處理和回應自動化的自動化規則,到執行預先決定動作序列的劇本,為您的威脅回應工作提供強大且彈性的進階自動化。
自動化規則
自動化規則可讓使用者集中管理事件處理的自動化。 自動化規則也可讓您一次自動化多個分析規則的回應。 自動標記、指派或關閉事件,而不需劇本,並控制動作的執行順序。 自動化規則將簡化 Microsoft Sentinel 中自動化的使用,並讓您可以為事件協調流程簡化複雜工作流程。
劇本
劇本集合了回應和補救動作,以及可從 Microsoft Sentinel 當作常式執行的邏輯。 Sentinel 劇本可以協助自動化和協調事件回應。 其可以與其他內部和外部系統整合,而且可以設定為自動執行,以在分析規則或自動化規則觸發特定警示或事件時,各自回應這些警示或事件。 也可以從事件頁面視需要手動執行以回應警示。
Microsoft Sentinel 中的劇本是以 Azure Logic Apps 內建的工作流程為基礎,該雲端服務可協助您跨整個企業的系統排程、自動化,以及協調工作和工作流程。 這表示,劇本可以利用 Logic Apps 整合和協調流程功能的所有能力和可自訂性,以及易於使用的設計工具,還有第 1 層 Azure 服務的可擴縮性、可靠性和服務層級。