Condividi tramite


Usare un playbook di Microsoft Sentinel per arrestare gli utenti potenzialmente compromessi

Questo articolo descrive uno scenario di esempio di come è possibile usare un playbook e una regola di automazione per automatizzare la risposta agli eventi imprevisti e correggere le minacce alla sicurezza. Le regole di automazione consentono di valutare gli eventi imprevisti in Microsoft Sentinel e vengono usate anche per eseguire playbook in risposta a eventi imprevisti o avvisi. Per altre informazioni, vedere Automazione in Microsoft Sentinel: Orchestrazione della sicurezza, automazione e risposta (SOAR).

Lo scenario di esempio descritto in questo articolo descrive come usare una regola di automazione e un playbook per arrestare un utente potenzialmente compromesso quando viene creato un evento imprevisto.

Nota

Poiché i playbook usano App per la logica di Azure, possono essere applicati addebiti aggiuntivi. Per altri dettagli, visitare la pagina dei prezzi di App per la logica di Azure.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

I ruoli seguenti sono necessari per usare App per la logica di Azure per creare ed eseguire playbook in Microsoft Sentinel.

Ruolo Descrizione
Proprietario Consente di concedere l'accesso ai playbook nel gruppo di risorse.
Collaboratore per app per la logica Consente di gestire le app per la logica ed eseguire playbook. Non consente di concedere l'accesso ai playbook.
Operatore per app per la logica Consente di leggere, abilitare e disabilitare le app per la logica. Non consente di modificare o aggiornare le app per la logica.
Collaboratore di Microsoft Sentinel Consente di collegare un playbook a una regola di analisi o automazione.
Risponditore di Microsoft Sentinel Consente di accedere a un evento imprevisto per eseguire manualmente un playbook, ma non consente di eseguire il playbook.
Operatore playbook di Microsoft Sentinel Consente di eseguire manualmente un playbook.
Collaboratore all'automazione di Microsoft Sentinel Consente alle regole di automazione di eseguire playbook. Questo ruolo non viene usato per altri scopi.

Nella scheda Playbook attivi della pagina Automazione vengono visualizzati tutti i playbook attivi disponibili in tutte le sottoscrizioni selezionate. Per impostazione predefinita, un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.

Autorizzazioni aggiuntive necessarie per eseguire playbook sugli eventi imprevisti

Microsoft Sentinel usa un account del servizio per eseguire playbook sugli eventi imprevisti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da eventi imprevisti o quando si esegue manualmente un playbook in un evento imprevisto specifico.

Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel. Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.

Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo di amministratore di accesso proprietario o utente. Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.

Arrestare gli utenti potenzialmente compromessi

I team SOC vogliono assicurarsi che gli utenti potenzialmente compromessi non possano spostarsi nella rete e rubare informazioni. È consigliabile creare una risposta automatizzata e multifatta agli eventi imprevisti generati da regole che rilevano utenti compromessi per gestire tali scenari.

Configurare la regola di automazione e il playbook per usare il flusso seguente:

  1. Viene creato un evento imprevisto per un utente potenzialmente compromesso e viene attivata una regola di automazione per chiamare il playbook.

  2. Il playbook apre un ticket nel sistema di ticket IT, ad esempio ServiceNow.

  3. Il playbook invia anche un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che gli analisti della sicurezza siano a conoscenza dell'evento imprevisto.

  4. Il playbook invia anche tutte le informazioni nell'evento imprevisto in un messaggio di posta elettronica all'amministratore di rete senior e all'amministratore della sicurezza. Il messaggio di posta elettronica include i pulsanti di opzione Blocca e Ignora utente.

  5. Il playbook attende fino a quando non viene ricevuta una risposta dagli amministratori, quindi continua con i passaggi successivi.

    • Se gli amministratori scelgono Blocca, il playbook invia un comando a Microsoft Entra ID per disabilitare l'utente e uno al firewall per bloccare l'indirizzo IP.

    • Se gli amministratori scelgono Ignora, il playbook chiude l'evento imprevisto in Microsoft Sentinel e il ticket in ServiceNow.

Lo screenshot seguente mostra le azioni e le condizioni che si aggiunge nella creazione di questo playbook di esempio:

Screenshot di un'app per la logica che mostra le azioni e le condizioni di questo playbook.