Erstellen und Verwenden von Microsoft Sentinel Automatisierungsregeln zum Verwalten von Antworten

Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird erläutert, wie Sie Automatisierungsregeln in Microsoft Sentinel erstellen und verwenden, um die Reaktion auf Bedrohungen zu verwalten und zu orchestrieren, um die Effizienz und Effektivität Ihres SOC zu maximieren.

In diesem Artikel erfahren Sie, wie Sie die Trigger und Bedingungen definieren, die bestimmen, wann Ihre Automatisierungsregel ausgeführt wird, die verschiedenen Aktionen, die Sie die Regel ausführen lassen können, sowie die verbleibenden Features und Funktionen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Entwerfen Ihrer Automatisierungsregel

Bevor Sie Ihre Automatisierungsregel erstellen, empfehlen wir Ihnen, den Umfang und den Entwurf zu bestimmen, einschließlich des Triggers, der Bedingungen und der Aktionen, aus denen Ihre Regel besteht.

Bestimmen des Bereichs

Der erste Schritt beim Entwerfen und Definieren Ihrer Automatisierungsregel besteht darin, herauszufinden, auf welche Incidents oder Warnungen sie angewendet werden soll. Diese Bestimmung wirkt sich direkt darauf aus, wie Sie die Regel erstellen.

Sie möchten auch Ihren Anwendungsfall bestimmen. Was versuchen Sie mit dieser Automatisierung zu erreichen? Ziehen Sie die folgenden Optionen in Betracht:

Erstellen Sie Aufgaben, die Ihre Analysten bei der Selektierung, Untersuchung und Behebung von Vorfällen befolgen können.
Unterdrücken sie laute Vorfälle. (Verwenden Sie alternativ andere Methoden, um falsch positive Ergebnisse in Microsoft Sentinel zu behandeln.)
Selektieren Sie neue Vorfälle, indem Sie ihre status von Neu in Aktiv ändern und einen Besitzer zuweisen.
Markieren Sie Vorfälle, um sie zu klassifizieren.
Eskalieren Sie einen Incident, indem Sie einen neuen Besitzer zuweisen.
Schließen Sie aufgelöste Incidents, geben Sie einen Grund an, und fügen Sie Kommentare hinzu.
Analysieren Sie den Inhalt des Incidents (Warnungen, Entitäten und andere Eigenschaften), und ergreifen Sie weitere Maßnahmen, indem Sie ein Playbook aufrufen.
Behandeln oder Reagieren auf eine Warnung ohne einen zugehörigen Incident.

Bestimmen des Triggers

Soll diese Automatisierung aktiviert werden, wenn neue Incidents oder Warnungen erstellt werden? Oder immer, wenn ein Incident aktualisiert wird?

Automatisierungsregeln werden ausgelöst , wenn ein Incident erstellt oder aktualisiert wird oder wenn eine Warnung erstellt wird. Denken Sie daran, dass Incidents Warnungen enthalten und sowohl Warnungen als auch Incidents durch Analyseregeln erstellt werden können, von denen es mehrere Typen gibt, wie unter Bedrohungserkennung in Microsoft Sentinel erläutert.

Die folgende Tabelle zeigt die verschiedenen möglichen Szenarien, die dazu führen, dass eine Automatisierungsregel ausgeführt wird.

Triggertyp	Ereignisse, die die Ausführung der Regel bewirken
Beim Erstellen eines Incidents	Microsoft Defender Portal: Im Microsoft Defender-Portal wird ein neuer Incident erstellt. Microsoft Sentinel nicht im Defender-Portal integriert: Ein neuer Incident wird von einer Analyseregel erstellt. Ein Incident wird von Microsoft Defender XDR erfasst. Ein neuer Incident wird manuell erstellt.
Wenn der Incident aktualisiert wird	Die status eines Incidents wird geändert (geschlossen/erneut geöffnet/selektierung). Der Besitzer eines Incidents wird zugewiesen oder geändert. Der Schweregrad eines Incidents wird erhöht oder gesenkt. Warnungen werden einem Incident hinzugefügt. Kommentare, Tags oder Taktiken werden einem Incident hinzugefügt.
Wenn eine Warnung erstellt wird	Eine Warnung wird von einer Microsoft Sentinel geplanten oder NRT-Analyseregel erstellt.

Erstellen Ihrer Automatisierungsregel

Die meisten der folgenden Anweisungen gelten für alle Anwendungsfälle, für die Sie Automatisierungsregeln erstellen.

Wenn Sie laute Vorfälle unterdrücken möchten und im Azure-Portal arbeiten, versuchen Sie, falsch positive Ergebnisse zu behandeln.

Wenn Sie eine Automatisierungsregel erstellen möchten, die auf eine bestimmte Analyseregel angewendet werden soll, lesen Sie Festlegen automatisierter Antworten und Erstellen der Regel.

So erstellen Sie Ihre Automatisierungsregel:

Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung> aus. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsautomatisierung aus>.
Wählen Sie auf der Seite Automatisierung im Microsoft Sentinel Navigationsmenü im oberen Menü die Option Erstellen und dann Automatisierungsregel aus.
- Defender-Portal
- Azure-Portal
Der Bereich Neue Automatisierungsregel erstellen wird geöffnet. Geben Sie im Feld Name der Automatisierungsregel einen Namen für Ihre Regel ein.

Auswählen des Triggers

Wählen Sie in der Dropdownliste Trigger den entsprechenden Trigger entsprechend dem Umstand aus, für den Sie die Automatisierungsregel erstellen: Wann der Incident erstellt wird, wann der Incident aktualisiert wird oder wann eine Warnung erstellt wird.

Screenshot: Auswählen des Triggers

Definieren von Bedingungen

Verwenden Sie die Optionen im Bereich Bedingungen , um Bedingungen für Ihre Automatisierungsregel zu definieren. Bei allen Bedingungen wird die Groß-/Kleinschreibung nicht beachtet.

Regeln, die Sie beim Erstellen einer Warnung erstellen, unterstützen nur die Eigenschaft Name der If-Analyseregel in Ihrer Bedingung. Wählen Sie aus, ob die Regel inklusiv (Enthält) oder exklusiv (Enthält nicht) sein soll, und wählen Sie dann den Namen der Analyseregel aus der Dropdownliste aus.

Werte für den Namen der Analyseregel enthalten nur Analyseregeln und keine anderen Arten von Regeln, z. B. Threat Intelligence oder Anomalieregeln.
Regeln, die Sie beim Erstellen oder Aktualisieren eines Incidents erstellen, unterstützen je nach Umgebung eine Vielzahl von Bedingungen. Diese Optionen beginnen damit, dass Sie Microsoft Sentinel in das Defender-Portal integriert haben:
- Onboarding im Defender-Portal
- Nicht im Defender-Portal integriert
Wenn Ihr Arbeitsbereich in das Defender-Portal integriert ist, wählen Sie zunächst einen der folgenden Operatoren im Azure oder im Defender-Portal aus:
- AND: einzelne Bedingungen, die als Gruppe ausgewertet werden. Die Regel wird ausgeführt, wenn alle Bedingungen dieses Typs erfüllt sind.
  
  Um mit dem AND-Operator zu arbeiten, wählen Sie die Erweiterung + Hinzufügen und dann Bedingung (Und) aus der Dropdownliste aus. Die Liste der Bedingungen wird durch Incidenteigenschafts- und Entitätseigenschaftsfelder aufgefüllt.
- OR (auch als Bedingungsgruppen bezeichnet): Gruppen von Bedingungen, von denen jede unabhängig ausgewertet wird. Die Regel wird ausgeführt, wenn eine oder mehrere Gruppen von Bedingungen erfüllt sind. Informationen zum Arbeiten mit diesen komplexen Arten von Bedingungen finden Sie unter Hinzufügen erweiterter Bedingungen zu Automatisierungsregeln.
Zum Beispiel:
Wenn Ihr Arbeitsbereich nicht in das Defender-Portal integriert ist, definieren Sie zunächst die folgenden Bedingungseigenschaften:
- Incidentanbieter: Incidents können über zwei mögliche Quellen verfügen: Sie können in Microsoft Sentinel erstellt und auch aus Microsoft Defender XDR importiert und synchronisiert werden.
  
  Wenn Sie einen der Incidenttrigger ausgewählt haben und die Automatisierungsregel nur für Incidents wirksam werden soll, die in Microsoft Sentinel erstellt wurden, oder alternativ nur für vorfälle, die aus Microsoft Defender XDR importiert wurden, geben Sie die Quelle in der Bedingung Wenn Incidentanbieter gleich ist an. (Diese Bedingung wird nur angezeigt, wenn ein Incidenttrigger ausgewählt ist.)
- Name der Analyseregel: Wenn die Automatisierungsregel nur für bestimmte Analyseregeln wirksam werden soll, geben Sie für alle Triggertypen an, welche regeln, indem Sie die Bedingung If Analytics-Regelname enthält ändern. (Diese Bedingung wird nicht angezeigt, wenn Microsoft XDR als Incidentanbieter ausgewählt ist.)
Fahren Sie dann fort, indem Sie einen der folgenden Operatoren auswählen:
- AND: einzelne Bedingungen, die als Gruppe ausgewertet werden. Die Regel wird ausgeführt, wenn alle Bedingungen dieses Typs erfüllt sind.
  
  Um mit dem AND-Operator zu arbeiten, wählen Sie die Erweiterung + Hinzufügen und dann Bedingung (Und) aus der Dropdownliste aus. Die Liste der Bedingungen wird durch Incidenteigenschafts- und Entitätseigenschaftsfelder aufgefüllt.
- OR (auch als Bedingungsgruppen bezeichnet): Gruppen von Bedingungen, von denen jede unabhängig ausgewertet wird. Die Regel wird ausgeführt, wenn eine oder mehrere Gruppen von Bedingungen erfüllt sind. Informationen zum Arbeiten mit diesen komplexen Arten von Bedingungen finden Sie unter Hinzufügen erweiterter Bedingungen zu Automatisierungsregeln.
Zum Beispiel:
Wenn Sie When an incident is updated (Wenn ein Incident aktualisiert wird ) als Trigger ausgewählt haben, definieren Sie zunächst Ihre Bedingungen, und fügen Sie dann bei Bedarf zusätzliche Operatoren und Werte hinzu.

So definieren Sie Ihre Bedingungen:

Wählen Sie im ersten Dropdownfeld auf der linken Seite eine Eigenschaft aus. Sie können mit der Eingabe eines beliebigen Teils eines Eigenschaftennamens in das Suchfeld beginnen, um die Liste dynamisch zu filtern, damit Sie schnell finden können, wonach Sie suchen.

Wählen Sie im nächsten Dropdownfeld rechts einen Operator aus. Screenshot: Auswählen eines Bedingungsoperators für Automatisierungsregeln

Die Liste der Operatoren, aus der Sie auswählen können, variiert je nach ausgewähltem Trigger und der ausgewählten Eigenschaft. Wenn Sie im Defender-Portal arbeiten, empfiehlt es sich, anstelle eines Incidenttitels die Bedingung Für den Namen der Analyseregel zu verwenden.

Mit dem Trigger zum Erstellen verfügbare Bedingungen

Eigenschaft	Operatorsatz
- Titel - Beschreibung – Alle aufgelisteten Entitätseigenschaften (Siehe unterstützte Entitätseigenschaften)	- Gleich/Ist ungleich - Enthält/enthält nicht - Beginnt mit/Beginnt nicht mit - Endet mit/endet nicht mit
- Tag (siehe Einzelne und Sammlung)	Jedes einzelne Tag: - Gleich/Ist ungleich - Enthält/enthält nicht - Beginnt mit/Beginnt nicht mit - Endet mit/endet nicht mit Sammlung aller Tags: - Enthält/enthält nicht
- Schweregrad - Status - Benutzerdefinierter Detailschlüssel	- Gleich/Ist ungleich
- Taktik - Warnungsproduktnamen - Wert für benutzerdefinierte Details - Name der Analyseregel	- Enthält/enthält nicht

Mit dem Updatetrigger verfügbare Bedingungen

Eigenschaft	Operatorsatz
- Titel - Beschreibung – Alle aufgelisteten Entitätseigenschaften (Siehe unterstützte Entitätseigenschaften)	- Gleich/Ist ungleich - Enthält/enthält nicht - Beginnt mit/Beginnt nicht mit - Endet mit/endet nicht mit
- Tag (siehe Einzelne und Sammlung)	Jedes einzelne Tag: - Gleich/Ist ungleich - Enthält/enthält nicht - Beginnt mit/Beginnt nicht mit - Endet mit/endet nicht mit Sammlung aller Tags: - Enthält/enthält nicht
- Tag (zusätzlich zu oben) - Warnungen - Kommentare	-Hinzugefügt
- Schweregrad - Status	- Gleich/Ist ungleich -Geändert – Geändert von – Geändert in
- Besitzer	-Geändert. Wenn der Besitzer eines Incidents über die API aktualisiert wird, müssen Sie userPrincipalName oder ObjectID angeben, damit die Änderung von Automatisierungsregeln erkannt wird.
- Aktualisiert von - Benutzerdefinierter Detailschlüssel	- Gleich/Ist ungleich
- Taktik	- Enthält/enthält nicht -Hinzugefügt
- Warnungsproduktnamen - Wert für benutzerdefinierte Details - Name der Analyseregel	- Enthält/enthält nicht

Mit dem Warnungstrigger verfügbare Bedingungen

Die einzige Bedingung, die von Regeln basierend auf dem Warnungserstellungstrigger ausgewertet werden kann, ist, Microsoft Sentinel Analyseregel die Warnung erstellt hat.

Automatisierungsregeln, die auf dem Warnungstrigger basieren, werden nur für Warnungen ausgeführt, die von Microsoft Sentinel erstellt wurden.

Geben Sie einen Wert in das Feld auf der rechten Seite ein. Abhängig von der ausgewählten Eigenschaft kann dies entweder ein Textfeld oder eine Dropdownliste sein, in der Sie aus einer geschlossenen Liste von Werten auswählen. Möglicherweise können Sie auch mehrere Werte hinzufügen, indem Sie das Würfelsymbol rechts neben dem Textfeld auswählen.

Weitere Informationen zum Festlegen komplexer Or-Bedingungen mit unterschiedlichen Feldern finden Sie unter Hinzufügen erweiterter Bedingungen zu Automatisierungsregeln.

Bedingungen basierend auf Tags

Sie können zwei Arten von Bedingungen basierend auf Tags erstellen:

Bedingungen mit Beliebigen einzelnen Tagoperatoren werten den angegebenen Wert für jedes Tag in der Auflistung aus. Die Auswertung ist true , wenn mindestens ein Tag die Bedingung erfüllt.
Bedingungen mit Sammlung aller Tagoperatoren werten den angegebenen Wert mit der Auflistung von Tags als einzelne Einheit aus. Die Auswertung ist nur true , wenn die Sammlung als Ganzes die Bedingung erfüllt.

Führen Sie die folgenden Schritte aus, um eine dieser Bedingungen basierend auf den Tags eines Incidents hinzuzufügen:

Erstellen Sie wie oben beschrieben eine neue Automatisierungsregel.
Fügen Sie eine Bedingung oder eine Bedingungsgruppe hinzu.
Wählen Sie in der Dropdownliste eigenschaften die Option Tag aus.
Wählen Sie die Dropdownliste Operatoren aus, um die verfügbaren Operatoren anzuzeigen, aus der Sie auswählen können.
- Integrierte Arbeitsbereiche
- Arbeitsbereiche, die nicht integriert sind
Sehen Sie sich an, wie die Operatoren wie zuvor beschrieben in zwei Kategorien unterteilt werden. Wählen Sie Ihren Operator sorgfältig aus, je nachdem, wie die Tags ausgewertet werden sollen.

Weitere Informationen finden Sie unter Tag-Eigenschaft : individual vs. collection.

Bedingungen basierend auf benutzerdefinierten Details

Sie können den Wert eines benutzerdefinierten Details, das in einem Incident angezeigt wird , als Bedingung einer Automatisierungsregel festlegen. Denken Sie daran, dass benutzerdefinierte Details Datenpunkte in unformatierten Ereignisprotokolldatensätzen sind, die in Warnungen und den daraus generierten Vorfällen angezeigt werden können. Verwenden Sie benutzerdefinierte Details, um auf die tatsächlich relevanten Inhalte in Ihren Warnungen zu gelangen, ohne die Abfrageergebnisse durchsuchen zu müssen.

Bekannte Einschränkung: Wenn benutzerdefinierte Detailwerte verwendet werden, kann der Operator Enthält nicht ordnungsgemäß ausgewertet werden, wenn mehrere (zwei oder mehr) unterschiedliche Werte vorhanden sind.

So fügen Sie eine Bedingung basierend auf einem benutzerdefinierten Detail hinzu:

Erstellen Sie wie zuvor beschrieben eine neue Automatisierungsregel.
Fügen Sie eine Bedingung oder eine Bedingungsgruppe hinzu.
Wählen Sie in der Dropdownliste eigenschaften die Option Benutzerdefinierter Detailschlüssel aus. Wählen Sie in der Dropdownliste operatoren die Option Gleich oder Nicht gleich aus.

Für die benutzerdefinierte Detailbedingung stammen die Werte in der letzten Dropdownliste aus den benutzerdefinierten Details, die in allen in der ersten Bedingung aufgeführten Analyseregeln angezeigt wurden. Wählen Sie das benutzerdefinierte Detail aus, das Sie als Bedingung verwenden möchten.
Sie haben das Feld ausgewählt, das Sie für diese Bedingung auswerten möchten. Geben Sie nun den Wert an, der in diesem Feld angezeigt wird, wodurch diese Bedingung als true ausgewertet wird.
Wählen Sie + Elementbedingung hinzufügen aus.

Die Wertbedingungszeile wird unten angezeigt.
Wählen Sie in der Operatoren-Dropdownliste Enthält oder Nicht enthalten aus. Geben Sie im Textfeld rechts den Wert ein, für den die Bedingung als true ausgewertet werden soll.

Wenn der Incident in diesem Beispiel das benutzerdefinierte Detail DestinationEmail aufweist und der Wert dieses Details ist pwned@bad-botnet.com, werden die in der Automatisierungsregel definierten Aktionen ausgeführt.

Aktionen hinzufügen

Wählen Sie die Aktionen aus, die diese Automatisierungsregel ausführen soll. Zu den verfügbaren Aktionen gehören Besitzer zuweisen, status ändern, Schweregrad ändern, Tags hinzufügen und Playbook ausführen. Sie können beliebig viele Aktionen hinzufügen.

Hinweis

Nur die Aktion Playbook ausführen ist in Automatisierungsregeln verfügbar, die den Warnungstrigger verwenden.

Screenshot: Liste der in der Automatisierungsregel auszuwählenden Aktionen

Füllen Sie für die gewünschte Aktion die Felder aus, die für diese Aktion angezeigt werden.

Wenn Sie eine Aktion Playbook ausführen hinzufügen, werden Sie aufgefordert, aus der Dropdownliste der verfügbaren Playbooks auszuwählen.

Nur Playbooks, die mit dem Incidenttrigger beginnen, können über Automatisierungsregeln mithilfe eines der Incidenttrigger ausgeführt werden, sodass nur sie in der Liste angezeigt werden. Ebenso sind nur Playbooks, die mit dem Warnungstrigger beginnen, in Automatisierungsregeln verfügbar, die den Warnungstrigger verwenden.
Microsoft Sentinel müssen explizite Berechtigungen erhalten, um Playbooks ausführen zu können. Wenn ein Playbook in der Dropdownliste nicht verfügbar angezeigt wird, bedeutet dies, dass Sentinel keine Berechtigungen für den Zugriff auf die Ressourcengruppe dieses Playbooks hat. Wählen Sie zum Zuweisen von Berechtigungen den Link Playbookberechtigungen verwalten aus.

Aktivieren Sie im daraufhin geöffneten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die Playbooks enthalten, die Sie ausführen möchten, und wählen Sie Übernehmen aus.

Sie selbst müssen über Besitzerberechtigungen für jede Ressourcengruppe verfügen, der Sie Microsoft Sentinel Berechtigungen erteilen möchten, und Sie müssen über die Rolle Microsoft Sentinel Automation-Mitwirkender für jede Ressourcengruppe verfügen, die Playbooks enthält, die Sie ausführen möchten.
Wenn Sie noch kein Playbook haben, das die gewünschte Aktion ausführt, erstellen Sie ein neues Playbook. Sie müssen den Erstellungsprozess der Automatisierungsregel beenden und neu starten, nachdem Sie Ihr Playbook erstellt haben.

Verschieben von Aktionen

Sie können die Reihenfolge der Aktionen in Ihrer Regel auch ändern, nachdem Sie sie hinzugefügt haben. Wählen Sie die blauen Pfeile nach oben oder unten neben jeder Aktion aus, um sie um einen Schritt nach oben oder unten zu verschieben.

Screenshot: Verschieben von Aktionen nach oben oder unten

Fertigstellen der Regel

Wenn Ihre Automatisierungsregel ablaufen soll, legen Sie unter Regelablauf ein Ablaufdatum und optional eine Uhrzeit fest. Andernfalls behalten Sie die Option Unbestimmt bei.
Das Feld Order ist mit der nächsten verfügbaren Nummer für den Triggertyp Ihrer Regel ausgefüllt. Diese Zahl bestimmt, wo diese Regel in der Sequenz von Automatisierungsregeln (desselben Triggertyps) ausgeführt wird. Sie können die Zahl ändern, wenn diese Regel vor einer vorhandenen Regel ausgeführt werden soll.

Weitere Informationen finden Sie unter Hinweise zur Ausführungsreihenfolge und -priorität.
Wählen Sie Anwenden aus. Sie haben es geschafft!

Screenshot der letzten Schritte zum Erstellen einer Automatisierungsregel.

Überwachen der Automatisierungsregelaktivität

Finden Sie heraus, was Automatisierungsregeln für einen bestimmten Incident getan haben könnten. Sie verfügen über eine vollständige Aufzeichnung der Incidentchroniken in der Tabelle SecurityIncident auf der Seite Protokolle im Azure-Portal oder auf der Seite Erweiterte Suche im Defender-Portal. Verwenden Sie die folgende Abfrage, um ihre gesamte Automatisierungsregelaktivität anzuzeigen:

SecurityIncident
| where ModifiedBy contains "Automation"

Ausführung von Automatisierungsregeln

Automatisierungsregeln werden sequenziell gemäß der von Ihnen angegebenen Reihenfolge ausgeführt. Jede Automatisierungsregel wird ausgeführt, nachdem die vorherige ausgeführt wurde. Innerhalb einer Automatisierungsregel werden alle Aktionen sequenziell in der Reihenfolge ausgeführt, in der sie definiert sind. Weitere Informationen finden Sie unter Hinweise zur Ausführungsreihenfolge und -priorität .

Playbookaktionen innerhalb einer Automatisierungsregel können unter bestimmten Umständen nach den folgenden Kriterien unterschiedlich behandelt werden:

Playbook-Laufzeit	Die Automatisierungsregel wechselt zur nächsten Aktion...
Weniger als eine Sekunde	Unmittelbar nach Abschluss des Playbooks
Weniger als zwei Minuten	Bis zu zwei Minuten nach beginn der Ausführung des Playbooks aber nicht mehr als 10 Sekunden nach Abschluss des Playbooks
Mehr als zwei Minuten	Zwei Minuten nach Beginn des Playbooks unabhängig davon, ob es abgeschlossen wurde oder nicht

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Automatisierungsregeln verwenden, um die Reaktionsautomatisierung für Microsoft Sentinel Incidents und Warnungen zentral zu verwalten.

Informationen zum Hinzufügen erweiterter Bedingungen mit OR Operatoren zu Automatisierungsregeln finden Sie unter Hinzufügen erweiterter Bedingungen zu Microsoft Sentinel Automatisierungsregeln.
Weitere Informationen zu Automatisierungsregeln finden Sie unter Automatisieren der Incidentbehandlung in Microsoft Sentinel mit Automatisierungsregeln.
Weitere Informationen zu erweiterten Automatisierungsoptionen finden Sie unter Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel.
Informationen zum Verwenden von Automatisierungsregeln zum Hinzufügen von Aufgaben zu Incidents finden Sie unter Erstellen von Incidenttasks in Microsoft Sentinel mithilfe von Automatisierungsregeln.
Informationen zum Migrieren von Warnungstrigger-Playbooks, die von Automatisierungsregeln aufgerufen werden sollen, finden Sie unter Migrieren Ihrer Microsoft Sentinel Warnungstrigger-Playbooks zu Automatisierungsregeln.
Hilfe bei der Implementierung von Automatisierungsregeln und Playbooks finden Sie unter Tutorial: Verwenden von Playbooks zum Automatisieren von Bedrohungsreaktionen in Microsoft Sentinel.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23