Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
Gli analisti SOC gestiscono numerosi avvisi di sicurezza e eventi imprevisti e il volume più ampio può sovraccaricare i team, causando avvisi ignorati e eventi imprevisti non investiti. Molti avvisi e eventi imprevisti possono essere risolti dagli stessi set di azioni di correzione predefinite, che possono essere automatizzate per rendere il SOC più efficiente e liberare analisti per indagini più approfondite.
Usare i playbook di Microsoft Sentinel per eseguire set preconfigurati di azioni correttive per automatizzare e orchestrare la risposta alle minacce. Eseguire automaticamente playbook, in risposta a avvisi e eventi imprevisti specifici che attivano una regola di automazione configurata o manualmente e su richiesta per una determinata entità o avviso.
Ad esempio, se un account e un computer sono compromessi, un playbook può isolare automaticamente il computer dalla rete e bloccare l'account al momento in cui il team SOC riceve una notifica dell'evento imprevisto.
Nota
Poiché i playbook usano App per la logica di Azure, possono essere applicati addebiti aggiuntivi. Per altri dettagli, visitare la pagina dei prezzi di App per la logica di Azure.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Casi d'uso consigliati
La tabella seguente elenca i casi d'uso di alto livello in cui è consigliabile usare i playbook di Microsoft Sentinel per automatizzare la risposta alle minacce:
| Caso d'uso | Descrizione |
|---|---|
| Arricchimento | Raccogliere i dati e collegarli a un evento imprevisto per aiutare il team a prendere decisioni più intelligenti. |
| Sincronizzazione bidirezionale | Sincronizzare gli eventi imprevisti di Microsoft Sentinel con altri sistemi di ticket. Ad esempio, creare una regola di automazione per tutte le creazioni di eventi imprevisti e allegare un playbook che apre un ticket in ServiceNow. |
| Orchestrazione | Usare la piattaforma di chat del team SOC per controllare meglio la coda degli eventi imprevisti. Ad esempio, inviare un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che gli analisti della sicurezza siano a conoscenza dell'evento imprevisto. |
| Response | Rispondere immediatamente alle minacce, con dipendenze umane minime, ad esempio quando viene indicato un utente o un computer compromesso. In alternativa, attivare manualmente una serie di passaggi automatizzati durante un'indagine o durante la ricerca. |
Per altre informazioni, vedere Casi d'uso del playbook consigliati, modelli ed esempi.
Prerequisiti
I ruoli seguenti sono necessari per usare App per la logica di Azure per creare ed eseguire playbook in Microsoft Sentinel.
| Ruolo | Descrizione |
|---|---|
| Proprietario | Consente di concedere l'accesso ai playbook nel gruppo di risorse. |
| Collaboratore per app per la logica | Consente di gestire le app per la logica ed eseguire playbook. Non consente di concedere l'accesso ai playbook. |
| Operatore per app per la logica | Consente di leggere, abilitare e disabilitare le app per la logica. Non consente di modificare o aggiornare le app per la logica. |
| Collaboratore di Microsoft Sentinel | Consente di collegare un playbook a una regola di analisi o automazione. |
| Risponditore di Microsoft Sentinel | Consente di accedere a un evento imprevisto per eseguire manualmente un playbook, ma non consente di eseguire il playbook. |
| Operatore playbook di Microsoft Sentinel | Consente di eseguire manualmente un playbook. |
| Collaboratore all'automazione di Microsoft Sentinel | Consente alle regole di automazione di eseguire playbook. Questo ruolo non viene usato per altri scopi. |
Nella scheda Playbook attivi della pagina Automazione vengono visualizzati tutti i playbook attivi disponibili in tutte le sottoscrizioni selezionate. Per impostazione predefinita, un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.
Autorizzazioni aggiuntive necessarie per l'esecuzione di playbook in Microsoft Sentinel
Microsoft Sentinel usa un account del servizio per eseguire playbook sugli eventi imprevisti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da eventi imprevisti o quando si esegue manualmente un playbook in un evento imprevisto specifico.
Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel. Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.
Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo di amministratore di accesso proprietario o utente. Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.
Modelli di playbook (anteprima)
Importante
I modelli di playbook sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
I modelli di playbook sono predefiniti, testati e pronti per l'uso di flussi di lavoro che non sono utilizzabili come playbook stessi, ma sono pronti per personalizzare in base alle proprie esigenze. È anche consigliabile usare i modelli di playbook come riferimento alle procedure consigliate per lo sviluppo di playbook da zero o come ispirazione per nuovi scenari di automazione.
Accedere ai modelli di playbook dalle origini seguenti:
| Titolo | Descrizione |
|---|---|
| Pagina automazione di Microsoft Sentinel | Nella scheda Modelli playbook sono elencati tutti i playbook installati. Creare uno o più playbook attivi usando lo stesso modello. Quando si pubblica una nuova versione di un modello, tutti i playbook attivi creati da tale modello hanno un'etichetta aggiuntiva aggiunta nella scheda Playbook attivi per indicare che è disponibile un aggiornamento. |
| Pagina hub del contenuto di Microsoft Sentinel | I modelli di playbook sono disponibili come parte delle soluzioni di prodotto o del contenuto autonomo installato dall'hub contenuto. Per altre informazioni, vedere: Informazioni sui contenuti e le soluzioni di Microsoft Sentinel Scoprire e gestire contenuti predefiniti di Microsoft Sentinel |
| GitHub | Il repository GitHub di Microsoft Sentinel contiene molti altri modelli di playbook. Selezionare Distribuisci in Azure per distribuire un modello nella sottoscrizione di Azure. |
Tecnicamente, un modello di playbook è un modello di Azure Resource Manager (ARM), costituito da diverse risorse: un flusso di lavoro App per la logica di Azure e connessioni API per ogni connessione interessata.
Per altre informazioni, vedi:
- Creare e personalizzare playbook di Microsoft Sentinel dai modelli di contenuto
- Modelli di playbook consigliati
- App per la logica di Azure per i playbook di Microsoft Sentinel
Flusso di lavoro di creazione e utilizzo del playbook
Usare il flusso di lavoro seguente per creare ed eseguire playbook di Microsoft Sentinel:
Definire lo scenario di automazione. È consigliabile esaminare i casi d'uso dei playbook consigliati e i modelli di playbook per iniziare.
Se non si usa un modello, creare il playbook e compilare l'app per la logica. Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.
Testare l'app per la logica eseguendola manualmente. Per altre informazioni, vedere Eseguire manualmente un playbook su richiesta.
Configurare il playbook per l'esecuzione automatica in un nuovo avviso o creazione di eventi imprevisti oppure eseguirlo manualmente in base alle esigenze dei processi. Per altre informazioni, vedere Rispondere alle minacce con i playbook di Microsoft Sentinel.
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per