介绍

除了作为安全信息和事件管理（SIEM）系统之外，Microsoft Sentinel 也是安全业务流程、自动化和响应（SOAR）的平台。 其主要用途之一是自动执行任何定期且可预测的扩充、响应和修正任务，这些任务由安全运营中心和人员（SOC/SecOps） 负责

你是一名安全运营分析师，在 Microsoft Azure 中实施 Microsoft Sentinel 的公司。 你准备将 Sentinel 工作区加入 Microsoft Defender，你需要了解与自动化规则和 Playbook 的任何差异。 你发现了一个分析规则，该规则生成被视为良性正的事件。 你希望实现在生成后自动关闭这些事件的自动化。

在本模块结束时，可以在 Azure 中的 Microsoft sentinel 和 Defender 门户中使用自动化规则进行自动化事件管理。

完成本模块后，你将能够：

• 说明 Microsoft Sentinel 中的自动化选项
• 在 Azure 和 Defender 门户中的 Microsoft Sentinel 中创建自动化规则
• 在 Azure 和 Defender 门户中Microsoft Sentinel 中创建 playbook