你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 团队通常会定期收到大量的安全警报和事件,数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境,导致组织很容易在未注意到的情况下受到攻击。
除了作为 SIEM 系统以外,Microsoft Sentinel 还是用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要用途之一是自动执行任何定期的、可预测的扩充、响应和修正任务,减轻原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担,让其将更多时间和资源用在更深入地调查和搜寻高级威胁方面。
本文介绍 Microsoft Sentinel 的 SOAR 功能,并演示如何使用自动化规则和 playbook 来响应安全威胁可以提高 SOC 的有效性并节省时间和资源。
重要说明
Microsoft Sentinel 已在 Microsoft Defender 门户中推出正式版,没有 Microsoft Defender XDR 或 E5 许可证的客户也可以使用它。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅“ 是时候行动了:停用 Microsoft Sentinel 的 Azure 门户,以提高安全性。
自动化规则
Microsoft Sentinel 使用自动化规则,使用户可以从中心位置管理事件处理自动化。 将自动化规则用于:
- 通过 playbook 为事件和警报分配更高级的自动化
- 在没有 playbook 的情况下自动标记、分配或关闭事件
- 一次性自动响应多个分析规则
- 为分析师创建在会审、调查和修正事件时要执行的任务列表
- 控制所执行的操作的顺序
建议在创建或更新事件时应用自动化规则,以进一步简化自动化并简化事件业务流程的复杂工作流。
有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁。
攻略
playbook 是响应和修正操作以及逻辑的集合,可以从 Microsoft Sentinel 作为例程运行。 playbook 可以:
- 帮助自动执行和协调威胁响应
- 与其他系统(内部和外部)集成
- 配置为自动运行以响应特定警报或事件,或配置为按需(例如,需要响应新警报)手动运行
在 Microsoft Sentinel 中,playbook 基于在 Azure 逻辑应用中构建的工作流。Azure 逻辑应用是一项云服务,可帮助计划、自动执行和编排整个企业范围内所有系统中的任务和工作流。 这意味着 playbook 不仅可以利用逻辑应用的集成和业务流程功能以及易于使用的设计工具所具备的所有强大功能和可定制性,还具有第 1 层 Azure 服务的可伸缩性、可靠性和服务级别。
有关详细信息,请参阅使用 Microsoft Sentinel 中的 playbook 自动响应威胁。
Microsoft Defender 门户中的自动化
请注意以下详细信息,了解 Microsoft Sentinel 在 Defender 门户中的自动化工作原理。 如果你是从 Azure 门户过渡到 Defender 门户的现有客户,则载入 Defender 门户后,可能会注意到工作区中的自动化功能方式存在差异。
| 功能 | 说明 |
|---|---|
| 使用警报触发器的自动化规则 | 在 Defender 门户中,使用警报触发器的自动化规则仅适用于 Microsoft Sentinel 警报。 有关详细信息,请参阅警报创建触发器。 |
| 使用事件触发器的自动化规则 | 在 Azure 门户和 Defender 门户中,事件提供程序 条件属性被去除,因为所有事件的提供程序都是 Microsoft XDR(在 ProviderName 字段中的值)。 此时,任何现有自动化规则都同时针对 Microsoft Sentinel 和 Microsoft Defender XDR 事件运行,包括“事件提供程序”条件设置为仅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 但是,指定了特定分析规则名称的自动化规则将仅针对所含警报由该指定分析规则创建的事件运行。 这意味着,可以将“分析规则名称”条件属性定义为仅存在于 Microsoft Sentinel 中的分析规则,从而使规则仅针对 Microsoft Sentinel 中的事件运行。 此外,在加入 Defender 门户后,SecurityIncident 表不再包含“说明”字段。 因此: - 如果使用此“说明”字段作为包含事件创建触发器的自动化规则的条件,则加入 Defender 门户后,该自动化规则将不起作用。 在这种情况下,请确保正确更新配置。 有关详细信息,请参阅事件触发器条件。 - 如果已配置与外部票证系统(如 ServiceNow)的集成,则事件说明会丢失。 |
| Playbook 触发器中的延迟 | Microsoft Defender 事件可能需要长达 5 分钟才能显示在 Microsoft Sentinel 中。 如果出现这种延迟,则 playbook 触发也会延迟。 |
| 对现有事件名称的更改 | Defender 门户使用独一无二的引擎来关联事件和警报。 将工作区载入 Defender 门户时,如果应用了关联,则现有事件名称可能会更改。 为了确保自动化规则始终正常运行,建议避免在自动化规则中使用事件标题作为条件标准,而是使用创建事件中所含警报的任何分析规则的名称;如果需要更具体的信息,则建议改用标记。 |
| “更新者”字段 | 有关详细信息,请参阅事件更新触发器。 |
| 直接从事件创建自动化规则 | 仅在 Azure 门户中支持直接从事件创建自动化规则。 如果在 Defender 门户中工作,请从“自动化”页从头开始创建自动化规则。 |
| Microsoft 事件创建规则 | Defender 门户不支持 Microsoft 事件创建规则。 有关详细信息,请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。 |
| 从 Defender 门户运行自动化规则 | 从触发警报并在 Defender 门户中创建或更新事件到运行自动化规则可能需要长达 10 分钟的时间。 之所以出现此时间延迟,是因为事件先在 Defender 门户中创建,然后又转发到 Microsoft Sentinel 以获取自动化规则。 |
| “活动 playbook”选项卡 | 载入 Defender 门户后,“活动 playbook”选项卡默认显示包含已加入工作区的订阅的预定义筛选器。 在 Azure 门户中,使用订阅筛选器为其他订阅添加数据。 有关详细信息,请参阅 从模板创建和自定义 Microsoft Sentinel 剧本。 |
| 按需手动运行 playbook | Defender 门户目前不支持以下过程: |
| 针对事件运行 playbook 需要 Microsoft Sentinel 同步 | 如果你尝试在 Defender 门户中针对事件运行 playbook,并看到“无法访问与此操作相关的数据。请在几分钟后刷新屏幕。”消息,则意味着事件尚未同步到 Microsoft Sentinel。 事件同步后刷新事件页面,即可成功运行 playbook。 |
|
事件:向事件添加警报 / 从事件中移除警报 |
由于将工作区载入 Defender 门户后,不支持向事件添加警报或从事件中移除警报,因此 playbook 中也不支持这些操作。 有关详细信息,请参阅 了解如何关联警报,以及如何在 Defender 门户中合并事件。 |
| Microsoft Defender XDR 在多个工作区中的集成 | 如果已将 XDR 数据与单个租户中的多个工作区集成,则数据现在只会引入 Defender 门户中的主工作区。 将自动化规则传输到相关工作区以使其保持运行状态。 |
| 自动化和关联引擎 | 相关引擎可以将来自多个信号的警报合并到单个事件中,这可能会导致自动化接收到你未预料到的数据。 建议查看自动化规则,以确保看到预期结果。 |