Automatizzare ed eseguire playbook di Microsoft Sentinel
I playbook sono raccolte di procedure che possono essere eseguite da Microsoft Sentinel in risposta a un intero evento imprevisto, a un singolo avviso o a un'entità specifica. Un playbook può essere utile per automatizzare e orchestrare la risposta e può essere impostato per l'esecuzione automatica quando vengono generati avvisi specifici o quando vengono creati o aggiornati eventi imprevisti, associandosi a una regola di automazione. Può anche essere eseguito manualmente su richiesta su eventi imprevisti, avvisi o entità specifici.
Questo articolo descrive come collegare playbook alle regole di analisi o alle regole di automazione oppure eseguire manualmente playbook su incidenti, avvisi o entità specifici.
Nota
I playbook in Microsoft Sentinel sono basati su flussi di lavoro basati su App per la logica di Azure, il che significa che si ottengono tutte le potenzialità, la personalizzazione e i modelli predefiniti di App per la logica. Potrebbero essere applicati addebiti aggiuntivi. Per altre informazioni, vedere la pagina dei prezzi per App per la logica di Azure.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Prima di iniziare, assicurarsi di disporre di un playbook disponibile per automatizzare o eseguire, con un trigger, condizioni e azioni definite. Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.
Ruoli di Azure necessari per eseguire playbook
Per eseguire i playbook, sono necessari i ruoli di Azure seguenti:
| Ruolo | Descrizione |
|---|---|
| Proprietario | Consente di concedere l'accesso ai playbook nel gruppo di risorse. |
| Collaboratore di Microsoft Sentinel | Collegare un playbook a una regola di analisi o a una regola di automazione |
| Risponditore di Microsoft Sentinel | Accedere a un incidente per eseguire manualmente un playbook. Per eseguire effettivamente il playbook, sono necessari anche i ruoli seguenti: - Operatore playbook di Microsoft Sentinel, per eseguire manualmente un playbook Ruolo - Collaboratore automazione di Microsoft Sentinel, per consentire alle regole di automazione di eseguire playbook. |
Per altre informazioni, vedere la sezione Prerequisiti del playbook.
Autorizzazioni aggiuntive necessarie per eseguire playbook sugli incidenti
Microsoft Sentinel usa un account del servizio per eseguire playbook sugli incidenti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da incidenti o quando si esegue manualmente un playbook in un incidente specifico.
Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel. Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.
Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo Proprietario o Amministratore accesso utente. Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.
Configurare le autorizzazioni del playbook per gli incidenti in una distribuzione multi-tenant
In una distribuzione multi-tenant, se il playbook da eseguire si trova in un tenant diverso, è necessario concedere all'account del servizio Microsoft Sentinel l'autorizzazione per eseguire il playbook nel tenant del playbook.
Nel menu di spostamento di Microsoft Sentinel nel tenant dei playbook selezionare Impostazioni.
Nella pagina Impostazioni selezionare la scheda Impostazioni, quindi espandere Autorizzazioni playbook.
Selezionare il pulsante Configura autorizzazioni per aprire il pannello Gestisci autorizzazioni.
Contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica. Ad esempio:
È necessario avere autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook da eseguire.
Se in uno scenario MSSP si desidera eseguire un playbook in un tenant del cliente da una regola di automazione creata durante l'accesso al tenant del provider di servizi, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook in entrambi i tenant:
Nel tenant del cliente seguire le istruzioni standard per la distribuzione multi-tenant.
Nel tenant del provider di servizi aggiungere l'app Azure Security Insights nel modello di onboarding di Azure Lighthouse come indicato di seguito:
- Nel portale di Azure, andarella pagina Microsoft Entra ID e selezionare Applicazioni Enterprise.
- Selezionare Tipo di applicazione e filtrare Applicazioni Microsoft.
- Nella casella di ricerca immettere Azure Security Insights.
- Copiare il campo ID oggetto. È necessario aggiungere questa autorizzazione aggiuntiva alla delega di Azure Lighthouse esistente.
Il ruolo Collaboratore automazione di Microsoft Sentinel ha un GUID fisso di f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un'autorizzazione di Azure Lighthouse di esempio sarà simile alla seguente nel modello di parametri:
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
Automatizzare le risposte agli incidenti e agli avvisi
Per rispondere automaticamente a interi incidenti o singoli avvisi con un playbook, creare una regola di automazione eseguita quando l'incidente viene creato o aggiornato o quando viene generato l'avviso. Questa regola di automazione include un passaggio che chiama il playbook che si desidera usare.
Per creare una regola di automazione:
Nella pagina Automazione del menu di spostamento di Microsoft Sentinel selezionare Crea dal menu in alto e quindi regola di automazione. Ad esempio:
Viene visualizzato il pannello Crea nuova regola di automazione. Immettere un nome per la regola. Le opzioni variano a seconda che l'area di lavoro sia o meno integrata nella piattaforma operativa di sicurezza unificata. Ad esempio:
Trigger: selezionare il trigger appropriato in base alla circostanza per cui si sta creando la regola di automazione: Quando viene creato l'incidente, Quando viene aggiornato l'incidente o Quando viene creato un avviso.
Condizioni:
Se l'area di lavoro non è ancora stata sottoposta a onboarding nella piattaforma operativa di sicurezza unificata, gli incidenti possono avere due possibili origini:
- È possibile creare eventi imprevisti all'interno di Microsoft Sentinel
- È possibile importare e sincronizzare gli incidenti con Microsoft Defender XDR.
Se è stato selezionato uno dei trigger di incidenti e si desidera che la regola di automazione venga applicata solo agli incidenti originati in Microsoft Sentinel o in alternativa in Microsoft Defender XDR, specificare l'origine nella condizione Se il provider di incidenti è uguale.
Questa condizione viene visualizzata solo se è selezionato un trigger di incidente e l'area di lavoro non viene sottoposta a onboarding nella piattaforma operativa di sicurezza unificata.
Per tutti i tipi di trigger, se si vuole che la regola di automazione venga applicata solo a determinate regole di analisi, specificare quali modificando la condizione Se il nome della regola di analisi contiene.
Aggiungere eventuali altre condizioni per cui determinare l'esecuzione di questa regola di automazione. Selezionare + Aggiungi e selezionare condizioni o gruppi di condizioni dall'elenco a discesa. L'elenco delle condizioni viene popolato dai campi dettagli avviso e identificatore di entità.
Azioni:
Poiché si usa questa regola di automazione per eseguire un playbook, selezionare l'azione Esegui playbook dall'elenco a discesa. Verrà quindi richiesto di selezionare da un secondo elenco a discesa che mostra i playbook disponibili. Una regola di automazione può eseguire solo i playbook che iniziano con lo stesso trigger (incidente o avviso) del trigger definito nella regola, quindi solo quei playbook vengono visualizzati nell'elenco.
Se non è disponibile alcun playbook nell'elenco a discesa, significa che Microsoft Sentinel non dispone dell'autorizzazione per il gruppo di risorse del playbook. Selezionare il collegamento Gestire le autorizzazioni del playbook per assegnare le autorizzazioni.
Nel pannello Gestisci autorizzazioni che si apre selezionare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e quindi Applica. Ad esempio:
È necessario avere autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook da eseguire.
Per altre informazioni, vedere Autorizzazioni aggiuntive necessarie per eseguire playbook sugli incidenti.
Aggiungere tutte le altre azioni desiderate per questa regola. È possibile modificare l'ordine di esecuzione delle azioni selezionando le frecce su o giù a destra di qualsiasi azione.
Impostare una data di scadenza per la regola di automazione, se necessario.
Immettere un numero in Ordine per determinare dove vengono eseguite le regole di automazione nella sequenza di regole di automazione.
Selezionare Applica per completare l'automazione.
Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.
Rispondere agli avvisi: metodo legacy
Un altro modo per eseguire automaticamente i playbook in risposta agli avvisi consiste nel chiamarli da una regola di analisi. Quando la regola genera un avviso, viene eseguito il playbook.
Questo metodo verrà deprecato a partire da marzo 2026.
A partire da giugno 2023, non è più possibile aggiungere playbook alle regole di analisi in questo modo. Tuttavia, è comunque possibile visualizzare i playbook esistenti chiamati dalle regole di analisi e questi playbook verranno comunque eseguiti fino a marzo 2026. È consigliabile creare regole di automazione per chiamare questi playbook prima di allora.
Eseguire manualmente un playbook su richiesta
È anche possibile eseguire manualmente un playbook su richiesta, in risposta a avvisi, incidenti o entità. Questo può essere utile in situazioni in cui si desidera un maggiore contributo umano e un maggiore controllo sui processi di orchestrazione e di risposta.
Eseguire un playbook manualmente in un avviso
Questa procedura non è supportata nella piattaforma operativa di sicurezza unificata.
Nel portale di Azure selezionare una delle schede seguenti in base alle esigenze dell'ambiente:
Nella pagina Incidenti selezionare un incidente e quindi selezionare Visualizza dettagli completi per aprire la pagina dei dettagli dell'incidente.
Nella pagina dei dettagli dell'incidente, nel widget Sequenza temporale degli incidenti selezionare l'avviso in cui si desidera eseguire il playbook. Selezionare i tre puntini alla fine della riga dell'avviso e selezionare Esegui playbook nel menu a comparsa.
Viene visualizzato il riquadro Playbook di avviso. Viene visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli avvisi di Microsoft Sentinel a cui si ha accesso.
Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.
È possibile visualizzare la cronologia di esecuzione per i playbook in un avviso selezionando la scheda Esecuzioni nel riquadro Playbook di avviso. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.
Eseguire manualmente un playbook su un incidente
Questa procedura è diversa, a seconda che si stia lavorando in Microsoft Sentinel o nella piattaforma operativa di sicurezza unificata. Selezionare la scheda pertinente per l'ambiente:
Nella pagina Eventi imprevisti selezionare un evento imprevisto.
Nel riquadro dei dettagli dell'incidente visualizzato sul lato selezionare Azioni > Esegui playbook.
Selezionando i tre puntini alla fine della riga dell'incidente nella griglia o facendo clic con il pulsante destro del mouse sull'incidente viene visualizzato lo stesso elenco del pulsante Azione.
Il pannello Esegui playbook sull'incidente si apre sul lato. Viene visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli incidenti di Microsoft Sentinel a cui si ha accesso.
Se non viene visualizzato il playbook che si desidera eseguire nell'elenco, significa che Microsoft Sentinel non dispone delle autorizzazioni per eseguire playbook in tale gruppo di risorse.
Per concedere tali autorizzazioni, selezionare Impostazioni>Impostazioni>Autorizzazioni playbook>Configura autorizzazioni. Nel pannello Gestisci autorizzazioni che si apre selezionare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e quindi Applica.
Per informazioni, vedere Autorizzazioni aggiuntive necessarie per eseguire playbook sugli incidenti.
Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.
È necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente playbook da eseguire. Se non si riesce a eseguire il playbook a causa di autorizzazioni mancanti, è consigliabile contattare un amministratore per chiedere di concederle. Per altre informazioni, vedere Prerequisiti dei playbook Microsoft Sentinel.
Visualizzare la cronologia di esecuzione per i playbook in un incidente selezionando la scheda Esecuzioni nel pannello Esegui playbook sull'incidente. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.
Eseguire manualmente un playbook su un'entità
Questa procedura non è supportata nella piattaforma operativa di sicurezza unificata.
Selezionare un'entità in uno dei modi seguenti, a seconda del contesto di origine:
- Pagina Dettagli dell'incidente (novità)
- Pagina Dettagli dell'incidente (legacy)
- Grafico di indagine
- Ricerca proattiva
Se ci si trova nella pagina dei dettagli di un incidente (nuova versione):
Nel widget Entità nella scheda Panoramica individuare l'entità ed eseguire una delle operazioni seguenti:
Non selezionare l'entità. Selezionare invece i tre puntini a destra dell'entità e quindi selezionare Esegui playbook. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.
Selezionare l'entità per aprire la scheda Entità della pagina dei dettagli dell'incidente. Individuare l'entità nell'elenco e selezionare i tre puntini a destra. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.
Selezionare un'entità ed eseguire il drill-down nella pagina dei dettagli dell'entità. Selezionare quindi il pulsante Esegui playbook nel pannello a sinistra. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.
Indipendentemente dal contesto ottenuto, l'ultimo passaggio di questa procedura proviene dal pannello Esegui playbook su <tipo entità>. Questo pannello mostra l'elenco di tutti i playbook a cui si ha accesso che sono stati configurati con il trigger Entità di Microsoft Sentinel di App per la logica per il tipo di entità selezionato.
Nel pannello *Esegui playbook su <tipo di entità> selezionare la scheda Esecuzioni per visualizzare la cronologia di esecuzione del playbook per una determinata entità. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.
Contenuto correlato
Per altre informazioni, vedi: