Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Uno dei fattori più importanti nell'esecuzione delle operazioni di sicurezza (SecOps) in modo efficace ed efficiente è la standardizzazione dei processi. Si prevede che gli analisti secOps eseguano un elenco di passaggi o attività nel processo di valutazione, analisi o correzione di un evento imprevisto. Standardizzare e formalizzare l'elenco di attività può aiutare a mantenere il soc in esecuzione senza problemi, garantendo che gli stessi requisiti si applichino a tutti gli analisti. In questo modo, indipendentemente da chi è in turno, un evento imprevisto otterrà sempre lo stesso trattamento e contratti di servizio. Gli analisti non dovranno dedicare tempo a pensare a cosa fare o preoccuparsi di perdere un passaggio critico. Questi passaggi sono definiti dal responsabile del SOC o dagli analisti senior (livello 2/3) in base alle comuni conoscenze sulla sicurezza (ad esempio NIST), alla loro esperienza con gli eventi imprevisti precedenti o alle raccomandazioni fornite dal fornitore della sicurezza che ha rilevato l'evento imprevisto.
Situazioni di utilizzo
Gli analisti soc possono usare un unico elenco di controllo centrale per gestire i processi di valutazione, indagine e risposta degli eventi imprevisti, senza preoccuparsi di perdere un passaggio critico.
I tecnici soc o gli analisti senior possono documentare, aggiornare e allineare gli standard di risposta agli eventi imprevisti tra i team e i turni degli analisti. Possono anche creare elenchi di controllo delle attività per formare nuovi analisti o analisti che riscontrano nuovi tipi di eventi imprevisti.
In qualità di responsabile soc o di provider di servizi condivisi, è possibile assicurarsi che gli eventi imprevisti vengano gestiti in base ai contratti di servizio/provider di servizi condivisi pertinenti.
Prerequisiti
Il ruolo risponditore Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare attività.
Il ruolo Collaboratore app per la logica è necessario per creare e modificare playbook.
Scenari
Analista
Seguire le attività durante la gestione di un evento imprevisto
Quando si seleziona un evento imprevisto e si visualizzano i dettagli completi, nella pagina dei dettagli dell'evento imprevisto verranno visualizzate nel pannello di destra tutte le attività aggiunte all'evento imprevisto, sia manualmente che tramite regole di automazione.
Espandere un'attività per visualizzarne la descrizione completa, inclusi l'utente, la regola di automazione o il playbook che l'ha creata.
Contrassegnare un'attività completata selezionando il relativo cerchio "casella di controllo".
Aggiungere attività a un evento imprevisto sul posto
È possibile aggiungere attività a un evento imprevisto aperto su cui si sta lavorando, per ricordarsi delle azioni che è necessario eseguire o per registrare azioni di propria iniziativa che non vengono visualizzate nell'elenco delle attività. Le attività aggiunte in questo modo si applicano solo all'evento imprevisto aperto.
Creatore del flusso di lavoro
Aggiungere attività agli eventi imprevisti con regole di automazione
Usare l'azione Aggiungi attività nelle regole di automazione per fornire automaticamente a tutti gli eventi imprevisti un elenco di controllo delle attività per gli analisti. Impostare la condizione del nome della regola di Analisi nella regola di automazione per determinare l'ambito:
Applicare la regola di automazione a tutte le regole di analisi per definire un set standard di attività da applicare a tutti gli eventi imprevisti.
Applicando la regola di automazione a un set limitato di regole di analisi, è possibile assegnare attività specifiche a eventi imprevisti specifici, in base alle minacce rilevate dalla regola o dalle regole di analisi che hanno generato tali eventi imprevisti.
Si consideri che l'ordine in cui le attività vengono visualizzate nell'evento imprevisto è determinato dall'ora di creazione delle attività. È possibile impostare l'ordine delle regole di automazione in modo che le regole che aggiungono le attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo dopo tutte le regole che aggiungono le attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche. All'interno di una singola regola, l'ordine in cui vengono definite le azioni determina l'ordine in cui vengono visualizzate in un evento imprevisto.
Prima di creare una nuova regola di automazione, vedere quali eventi imprevisti sono coperti da regole e attività di automazione esistenti.
Usare il filtro Azione nell'elenco regole di automazione per visualizzare solo le regole che aggiungono attività agli eventi imprevisti e vedere a quali regole di analisi si applicano tali regole di automazione per comprendere a quali eventi imprevisti verranno aggiunte tali attività.
Aggiungere attività agli eventi imprevisti con playbook
Usare l'azione Aggiungi attività in un playbook (nel connettore Microsoft Sentinel) per aggiungere automaticamente un'attività all'evento imprevisto che ha attivato il playbook.
Usare quindi altre azioni playbook, nei rispettivi connettori di App per la logica, per completare il contenuto dell'attività.
Infine, usare l'azione Contrassegna l'attività come completata (di nuovo nel connettore Microsoft Sentinel) per contrassegnare automaticamente il completamento dell'attività.
Si considerino gli scenari seguenti come esempi:
Consenti ai playbook di aggiungere e completare attività: Quando viene creato un evento imprevisto, viene attivato un playbook che esegue le operazioni seguenti:
- Aggiunge un'attività all'evento imprevisto per reimpostare la password di un utente.
- Esegue l'attività eseguendo una chiamata API al sistema di provisioning utente per reimpostare la password dell'utente.
- Attende una risposta dal sistema sull'esito positivo o negativo della reimpostazione.
- Se la reimpostazione della password è riuscita, il playbook contrassegna l'attività appena creata nell'evento imprevisto come completata.
- Se la reimpostazione della password non è riuscita, il playbook non contrassegnerà l'attività come completata, lasciandola a un analista da eseguire.
Consentire al playbook di valutare se è necessario aggiungere attività condizionali: Quando viene creato un evento imprevisto, viene attivato un playbook che richiede un report sull'indirizzo IP da un'origine di intelligence per le minacce esterna.
- Se l'indirizzo IP è dannoso, il playbook aggiunge una determinata attività (ad esempio, "Blocca questo indirizzo IP").
- In caso contrario, il playbook non esegue ulteriori azioni.
Usare regole di automazione o playbook per aggiungere attività?
Quali considerazioni devono determinare quali di questi metodi devono essere usati per creare attività impreviste?
- Regole di automazione: usare quando possibile. Usare per attività semplici e statiche che non richiedono interattività.
- Playbook: usare per casi d'uso avanzati, ovvero la creazione di attività in base alle condizioni o di attività con azioni automatizzate integrate.
Passaggi successivi
- Informazioni su come gli analisti possono usare le attività per gestire il flusso di lavoro degli eventi imprevisti in Microsoft Sentinel.
- Altre informazioni sull'analisi degli eventi imprevisti in Microsoft Sentinel.
- Informazioni su come aggiungere attività a gruppi di eventi imprevisti automaticamente usando regole di automazione o playbook.
- Altre informazioni sulle regole di automazione e su come crearle.
- Altre informazioni sui playbook e su come crearli.