Partilhar via

Migre seus playbooks de disparo de alerta do Microsoft Sentinel para regras de automação

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Recomendamos que se migrem os playbooks existentes, criados com base em gatilhos de alerta, para que deixem de ser invocados por regras de análise e passem a ser invocados por regras de automação. Este artigo explica por que recomendamos essa ação e como migrar seus playbooks.

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Porquê migrar

Os playbooks que são invocados por regras de automação em vez de regras de análise têm as seguintes vantagens:

  • Gestão de automação a partir de um único ecrã, independentemente do tipo ("painel único de vidro").

  • Use uma única regra de automação acionando playbooks para várias regras de análise, em vez de configurar cada regra de análise separadamente.

  • Defina a ordem em que os playbooks de alerta devem ser executados.

  • Suporte para cenários que definem uma data de expiração para executar um playbook.

Migrar o gatilho do playbook não altera em nada o playbook e apenas altera o mecanismo que invoca o playbook para executar alterações.

A capacidade de invocar playbooks a partir de regras de análise será descontinuada a partir de março de 2026. Até lá, os playbooks já definidos a partir de regras de análise continuarão a ser executados, mas a partir de junho de 2023 você não poderá mais adicionar playbooks à lista daqueles invocados a partir de regras de análise. A única opção restante é invocá-los a partir de regras de automação.

Pré-requisitos

Você vai precisar de:

  • Função de Colaborador de Logic Apps para criar e editar playbooks

  • Função de Colaborador do Microsoft Sentinel para anexar um manual a uma regra de automação

Para obter mais informações, consulte os pré-requisitos do manual do Microsoft Sentinel.

Criar uma regra de automação a partir de uma regra de análise

Use este procedimento se estiver migrando um manual usado por apenas uma regra de análise. Caso contrário, use Criar uma nova regra de automação na página Automação.

  1. Para o Microsoft Sentinel no portal do Azure, selecionea página>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Analytics.

  2. Em Regras ativas, localize uma regra de análise já configurada para executar um manual e selecione Editar.

    Captura de ecrã a mostrar a localização e seleção de uma regra de análise.

  3. Selecione a guia Resposta automatizada. Os playbooks configurados diretamente para serem executados a partir desta regra de análise podem ser encontrados em Automação de alertas (clássica). Observe o aviso sobre a depreciação.

    Captura de ecrã das regras de automação e playbooks.

  4. Na metade superior da tela, selecione + Adicionar novo em Regras de automação para criar uma nova regra de automação.

  5. No painel Criar nova regra de automação, em Gatilho, selecione Quando o alerta for criado.

    Imagem da criação de regra de automação no ecrã de regras de análise.

  6. Em Ações, veja que a ação Executar playbook, sendo o único tipo de ação disponível, é selecionada automaticamente e inativada. Selecione o seu playbook entre os disponíveis na lista suspensa na linha abaixo.

    Captura de tela da seleção de playbook como ação no assistente de regras de automação.

  7. Selecione Aplicar. A nova regra é exibida na grade de regras de automação.

  8. Remova o manual da seção Automação de alertas (clássica).

  9. Revise e atualize a regra de análise para salvar suas alterações.

Criar uma nova regra de automação a partir da página Automação

Use este procedimento se estiver migrando um manual usado por várias regras de análise. Caso contrário, use Criar uma regra de automação a partir de uma regra de análise

  1. Para o Microsoft Sentinel no portal do Azure, selecionea página>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Analytics.

  2. Na barra de menu superior, selecione Criar -> Regra de automação.

  3. No painel Criar nova regra de automação, no menu pendente Gatilho, selecione Quando o alerta for criado.

  4. Em Condições, selecione as regras de análise nas quais deseja executar um playbook específico ou um conjunto de playbooks.

  5. Em Ações, para cada plano de ação que esta regra acione, selecione + Adicionar ação. A ação Executar playbook é selecionada automaticamente e desativada.

  6. Selecione a partir da lista de playbooks disponíveis na lista suspensa na linha abaixo. Ordene as ações de acordo com a ordem em que deseja que os playbooks sejam executados, selecionando as setas para cima/para baixo ao lado de cada ação.

  7. Selecione Aplicar para salvar a regra de automação.

  8. Edite a regra ou regras de análise que invocaram esses playbooks (as regras especificadas em Condições), removendo o playbook da seção Automação de alertas (clássica) da guia Resposta automatizada .

Conteúdos relacionados

Para obter mais informações, consulte: