Creare attività di eventi imprevisti in Microsoft Sentinel usando le regole di automazione

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come usare le regole di automazione per creare elenchi di attività impreviste per standardizzare i processi del flusso di lavoro analista in Microsoft Sentinel.

Le attività degli eventi imprevisti possono essere create automaticamente non solo dalle regole di automazione, ma anche dai playbook e anche manualmente, ad hoc, dall'interno di un evento imprevisto.

Casi d'uso per ruoli diversi

Questo articolo illustra gli scenari seguenti che si applicano ai responsabili SOC, agli analisti senior e agli ingegneri di automazione:

• Visualizzare le regole di automazione con le azioni delle attività degli eventi imprevisti
• Aggiungere attività agli eventi imprevisti con regole di automazione

Un altro scenario di questo tipo è affrontato nell'articolo complementare seguente:

• Aggiungere attività agli eventi imprevisti con playbook

Un altro articolo, nei collegamenti seguenti, illustra gli scenari che si applicano di più agli analisti SOC:

• Visualizzare e seguire le attività degli eventi imprevisti
• Aggiungere manualmente un'attività ad hoc a un evento imprevisto

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Il ruolo Risponditore di Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare le attività.

Visualizzare le regole di automazione con le azioni delle attività degli eventi imprevisti

Nella pagina Automazione è possibile filtrare la visualizzazione delle regole di automazione per visualizzare solo quelle con l'opzione Aggiungi azioni attività definite.

1. Selezionare il filtro Azioni .

2. Deselezionare la casella di controllo Seleziona tutto .

3. Scorrere verso il basso e contrassegnare la casella di controllo Aggiungi attività .

4. Selezionare OK e visualizzare i risultati.

   

   Si tratta delle regole di automazione che aggiungono attività agli eventi imprevisti. La colonna Dei nomi delle regole di Analisi indica le regole di analisi su cui queste regole di automazione sono condizionali, quindi si avrà un'idea generale degli eventi imprevisti interessati.

   Nota

   Per sapere esattamente se una regola di automazione verrà applicata a un evento imprevisto specifico, è necessario aprire la regola per verificare se sono definite condizioni aggiuntive, oltre alla condizione della regola di analisi. Se vengono definite altre condizioni, l'ambito degli eventi imprevisti interessati verrà ristretto di conseguenza.

Aggiungi attività agli eventi imprevisti con regole di automazione

1. Nella pagina Automazione selezionare + Crea e selezionare Regola di automazione.

2. Il pannello Crea nuova regola di automazione verrà aperto sul lato destro.
   Assegnare alla regola di automazione un nome che descrive le operazioni che esegue.

3. Selezionare Quando viene creato un evento imprevisto come trigger (è anche possibile usare Quando viene aggiornato l'evento imprevisto).

4. Aggiungere condizioni per determinare a quali eventi imprevisti verranno aggiunte nuove attività.

   Ad esempio, filtrare in base al nome della regola di Analisi:

   • È possibile aggiungere attività agli eventi imprevisti in base ai tipi di minacce rilevate da una regola di analisi o da un gruppo di regole di analisi che devono essere gestite in base a un determinato flusso di lavoro. Cercare e selezionare le regole di analisi pertinenti nell'elenco a discesa.

   • In alternativa, è possibile aggiungere attività rilevanti per gli eventi imprevisti in tutti i tipi di minacce (in questo caso lasciare invariata la selezione predefinita Di tutto ).

   In entrambi i casi, è possibile aggiungere altre condizioni per restringere l'ambito degli eventi imprevisti a cui verrà applicata la regola di automazione. Altre informazioni sull'aggiunta di condizioni avanzate alle regole di automazione.

   Un aspetto da considerare è che l'ordine in cui le attività vengono visualizzate nell'evento imprevisto è determinato dal tempo di creazione delle attività. Puoi impostare l'ordine delle regole di automazione, in modo che le regole che aggiungono attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo in seguito tutte le regole che aggiungono attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche.

   

5. In Azioni selezionare Aggiungi attività.

   

6. Per ogni attività immettere un titolo nel campo Titolo attività e quindi (facoltativamente) selezionare + Aggiungi descrizione per aprire un campo di descrizione .
   Solo i titoli delle attività vengono visualizzati per impostazione predefinita nel pannello dell'elenco attività dell'evento imprevisto. La descrizione di un'attività viene visualizzata solo quando l'elemento dell'attività viene espanso.

   

7. Nel campo della descrizione è possibile aggiungere una descrizione in formato libero per l'attività, incluse immagini, collegamenti e formattazione RTF (vedere i collegamenti ipertestuali, gli elenchi numerati e il testo formattato in blocchi di codice negli esempi seguenti).

   

8. Aggiungere altre attività allo stesso gruppo di eventi imprevisti selezionando + Aggiungi azione e ripetendo gli ultimi tre passaggi.

   Le attività verranno create e aggiunte all'evento imprevisto in base all'ordine delle azioni Aggiungi attività nella regola di automazione.

   

9. Completare la creazione della regola di automazione completando i passaggi rimanenti, la scadenza della regola e l'ordine e selezionando Applica alla fine. Per informazioni dettagliate, vedere Creare e usare le regole di automazione di Microsoft Sentinel per gestire la risposta .

   Per quanto riguarda l'impostazione Ordine: l'ordine in cui le attività vengono visualizzate negli eventi imprevisti dipende da due elementi:

   1. L'ordine di esecuzione delle regole di automazione, come determinato dal numero nell'impostazione Ordine e...
   2. Ordine delle azioni Aggiungi attività definite all'interno di ogni regola di automazione.

Passaggi successivi

• Altre informazioni sulle attività degli eventi imprevisti.
• Informazioni su come analizzare gli eventi imprevisti.
• Informazioni su come aggiungere attività a gruppi di eventi imprevisti automaticamente usando playbook.
• Informazioni su come usare le attività per gestire il flusso di lavoro degli eventi imprevisti in Microsoft Sentinel.
• Altre informazioni sulle regole di automazione e su come crearle.