Monitorare l'integrità delle regole di automazione e dei playbook

Articolo
05/22/2024

Per garantire il corretto funzionamento e le prestazioni delle operazioni di orchestrazione, automazione e risposta della sicurezza nel servizio Microsoft Sentinel, tenere traccia dell'integrità delle regole di automazione e dei playbook monitorando i log di esecuzione.

Configurare le notifiche degli eventi di integrità per gli stakeholder pertinenti, che possono quindi intervenire. Ad esempio, definire e inviare messaggi di posta elettronica o Microsoft Teams, creare nuovi ticket nel sistema di ticket e così via.

Questo articolo descrive come usare le funzionalità di monitoraggio dell'integrità di Microsoft Sentinel per tenere traccia delle regole di automazione e dell'integrità dei playbook dall'interno di Microsoft Sentinel. Per altre informazioni, vedere Controllo e monitoraggio dell'integrità in Microsoft Sentinel.

Usare la tabella dati SentinelHealth (anteprima pubblica)

Per ottenere i dati sull'integrità di automazione dalla tabella dei dati SentinelHealth , attivare prima di tutto la funzionalità di integrità di Microsoft Sentinel per l'area di lavoro. Per altre informazioni, vedere Attivare il monitoraggio dell'integrità per Microsoft Sentinel.

Dopo aver attivato la funzionalità di integrità, la tabella dei dati SentinelHealth viene creata al primo evento di esito positivo o negativo generato per le regole di automazione e i playbook.

Informazioni sugli eventi della tabella SentinelHealth

Nella tabella SentinelHealth vengono registrati i tipi di eventi di integrità di automazione seguenti:

Esecuzione della regola di automazione. Registrato ogni volta che vengono soddisfatte le condizioni di una regola di automazione, causandone l'esecuzione. Oltre ai campi nella tabella SentinelHealth di base, questi eventi includono proprietà estese univoca per l'esecuzione delle regole di automazione, incluso un elenco dei playbook chiamati dalla regola. Nella query di esempio seguente vengono visualizzati questi eventi:
```
SentinelHealth
| where OperationName == "Automation rule run"
```
Il playbook è stato attivato. Registrato ogni volta che un playbook viene attivato manualmente da un evento imprevisto dal portale o tramite l'API. Oltre ai campi nella tabella SentinelHealth di base, questi eventi includono proprietà estese univoca per l'attivazione manuale dei playbook. Nella query di esempio seguente vengono visualizzati questi eventi:
```
SentinelHealth
| where OperationName == "Playbook was triggered"
```

Per altre informazioni, vedere Schema delle colonne della tabella SentinelHealth.

Stati, errori e passaggi suggeriti

Per lo stato di esecuzione della regola di automazione, è possibile che vengano visualizzati gli stati seguenti:

Operazione riuscita: la regola viene eseguita correttamente, attivando tutte le azioni.
Esito positivo parziale: la regola è stata eseguita e attivata almeno un'azione, ma alcune azioni non sono riuscite.
Errore: la regola di automazione non ha eseguito alcuna azione a causa di uno dei motivi seguenti:
- Valutazione delle condizioni non riuscita.
- Condizioni soddisfatte, ma la prima azione non è riuscita.

Per lo stato attivato del Playbook, è possibile che vengano visualizzati gli stati seguenti:

Operazione riuscita: il playbook è stato attivato correttamente.
Errore: non è stato possibile attivare il playbook.

Nota

Success significa solo che la regola di automazione ha attivato correttamente un playbook. Non indica quando il playbook è stato avviato o terminato, i risultati delle azioni nel playbook o il risultato finale del playbook.

Per trovare queste informazioni, eseguire una query sui log di diagnostica di App per la logica. Per altre informazioni, vedere Ottenere l'immagine completa dell'automazione.

Descrizioni degli errori e azioni suggerite

Descrizione errore	Azioni consigliate
*Impossibile aggiungere attività: TaskName>.<* Evento imprevisto/avviso non trovato.	Assicurarsi che l'evento imprevisto/avviso esista e riprovare.
Impossibile modificare la proprietà PropertyName><. Evento imprevisto/avviso non trovato.	Assicurarsi che l'evento imprevisto/avviso esista e riprovare.
Impossibile modificare la proprietà PropertyName><. Troppe richieste, superando i limiti di limitazione.
*Impossibile attivare il playbook: <PlaybookName>.* Evento imprevisto/avviso non trovato.	Se si è verificato l'errore durante il tentativo di attivare un playbook su richiesta, verificare che l'evento imprevisto/avviso esista e riprovare.
*Impossibile attivare il playbook: <PlaybookName>.* Il playbook non è stato trovato oppure microsoft Sentinel non disponeva delle autorizzazioni necessarie.	Modificare la regola di automazione, trovare e selezionare il playbook nella nuova posizione e salvare. Assicurarsi che Microsoft Sentinel disponga dell'autorizzazione per eseguire questo playbook.
*Impossibile attivare il playbook: <PlaybookName>.* Contiene un tipo di trigger non supportato.	Assicurarsi che il playbook inizi con il trigger corretto di App per la logica: Evento imprevisto di Microsoft Sentinel o Avviso di Microsoft Sentinel.
*Impossibile attivare il playbook: <PlaybookName>.* La sottoscrizione è disabilitata e contrassegnata come di sola lettura. I playbook in questa sottoscrizione non possono essere eseguiti finché la sottoscrizione non viene riabilitata.	Riabilitare la sottoscrizione di Azure in cui si trova il playbook.
*Impossibile attivare il playbook: <PlaybookName>.* Il playbook è stato disabilitato.	Abilitare il playbook, in Microsoft Sentinel nella scheda Playbook attivi in Automazione o nella pagina delle risorse di App per la logica.
*Impossibile attivare il playbook: <PlaybookName>.* Definizione del modello non valida.	Si è verificato un errore nella definizione del playbook. Passare alla finestra di progettazione di App per la logica per risolvere i problemi e salvare il playbook.
*Impossibile attivare il playbook: <PlaybookName>.* La configurazione del controllo di accesso limita Microsoft Sentinel.	Le configurazioni di App per la logica consentono di limitare l'accesso per attivare il playbook. Questa restrizione è effettiva per questo playbook. Rimuovere questa restrizione in modo che Microsoft Sentinel non venga bloccato. Ulteriori informazioni
*Impossibile attivare il playbook: <PlaybookName>.* Microsoft Sentinel non dispone delle autorizzazioni necessarie per eseguirla.	Microsoft Sentinel richiede le autorizzazioni per eseguire playbook.
*Impossibile attivare il playbook: <PlaybookName>.* Il playbook non è stato migrato al nuovo modello di autorizzazioni. Concedere a Microsoft Sentinel le autorizzazioni per eseguire questo playbook e ricampionare la regola.	Concedere a Microsoft Sentinel le autorizzazioni per eseguire questo playbook e ricampionare la regola.
*Impossibile attivare il playbook: <PlaybookName>.* Troppe richieste, superando i limiti di limitazione del flusso di lavoro.	Il numero di esecuzioni del flusso di lavoro in attesa ha superato il limite massimo consentito. Provare ad aumentare il valore di nella configurazione della `'maximumWaitingRuns'` concorrenza dei trigger.
*Impossibile attivare il playbook: <PlaybookName>.* Troppe richieste, superando i limiti di limitazione.	Altre informazioni sui limiti di sottoscrizione e tenant.
*Impossibile attivare il playbook: <PlaybookName>.* Accesso negato. Identità gestita mancante o è stata impostata la restrizione di rete di App per la logica.	Se il playbook usa l'identità gestita, assicurarsi che l'identità gestita sia stata assegnata con autorizzazioni. Il playbook potrebbe avere regole di restrizione di rete che impediscono l'attivazione quando bloccano il servizio Microsoft Sentinel.
*Impossibile attivare il playbook: <PlaybookName>.* La sottoscrizione o il gruppo di risorse è stato bloccato.	Rimuovere il blocco per consentire i playbook del trigger di Microsoft Sentinel nell'ambito bloccato. Altre informazioni sulle risorse bloccate.
*Impossibile attivare il playbook: <PlaybookName>.* Il chiamante non dispone delle autorizzazioni di attivazione del playbook necessarie per il playbook oppure microsoft Sentinel non dispone delle autorizzazioni necessarie per il playbook.	L'utente che tenta di attivare il playbook su richiesta non ha il ruolo Collaboratore app per la logica nel playbook o per attivare il playbook. Ulteriori informazioni
*Impossibile attivare il playbook: <PlaybookName>.* Credenziali non valide nella connessione.	Controllare le credenziali usate dalla connessione nel servizio Connessioni API nel portale di Azure.
*Impossibile attivare il playbook: <PlaybookName>.* L'ID ARM del playbook non è valido.

Ottenere l'immagine completa dell'automazione

La tabella di monitoraggio dell'integrità di Microsoft Sentinel consente di tenere traccia del momento in cui vengono attivati i playbook, ma per monitorare cosa accade nei playbook e i relativi risultati quando vengono eseguiti, è necessario attivare anche la diagnostica in App per la logica di Azure per inserire gli eventi seguenti nella tabella AzureDiagnostics:

{Nome azione} avviato
{Nome azione} terminato
Flusso di lavoro (playbook) avviato
Flusso di lavoro (playbook) terminato

Questi eventi aggiunti forniscono informazioni aggiuntive sulle azioni eseguite nei playbook.

Attivare la diagnostica App per la logica di Azure

Per ogni playbook di interesse per il monitoraggio, abilitare Log Analytics per l'app per la logica. Assicurarsi di selezionare Invia all'area di lavoro Log Analytics come destinazione log e scegliere l'area di lavoro di Microsoft Sentinel.

Correlare i log di Microsoft Sentinel e App per la logica di Azure

Ora che sono disponibili log per le regole di automazione e i playbook e i log per i singoli flussi di lavoro di App per la logica nell'area di lavoro, è possibile correlarli per ottenere l'immagine completa. Si consideri la query di esempio seguente:

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus

Usare la cartella di lavoro di monitoraggio dell'integrità

La cartella di lavoro integrità di Automazione consente di visualizzare i dati di integrità, nonché la correlazione tra i due tipi di log appena menzionati. La cartella di lavoro include le seguenti visualizzazioni:

Integrità e dettagli delle regole di automazione
Integrità e dettagli del trigger del playbook
Il playbook esegue l'integrità e i dettagli (richiede Diagnostica di Azure abilitata a livello di playbook)
Dettagli di automazione per evento imprevisto

Ad esempio:

Screenshot che mostra il pannello di apertura della cartella di lavoro di integrità dell'automazione.

Selezionare la scheda Playbook run by Automation Rules (Regole di automazione) per visualizzare l'attività del playbook.

Screenshot che mostra un elenco dei playbook chiamati dalle regole di automazione.

Selezionare un playbook per visualizzare l'elenco delle esecuzioni nel grafico di drill-down riportato di seguito.

Screenshot che mostra un elenco di esecuzioni del playbook scelto.

Selezionare una determinata esecuzione per visualizzare i risultati delle azioni nel playbook.

Passaggi successivi

Informazioni sul controllo e sul monitoraggio dell'integrità in Microsoft Sentinel.
Attivare il controllo e il monitoraggio dell'integrità in Microsoft Sentinel.
Monitorare l'integrità dei connettori dati.
Monitorare l'integrità e l'integrità delle regole di analisi.
Vedere altre informazioni sugli schemi di tabella SentinelHealth e SentinelAudit.

Condividi tramite