Automazione in Microsoft Sentinel: orchestrazione della sicurezza, automazione e risposta (SOAR)

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I team di gestione delle informazioni sulla sicurezza e degli eventi (SIEM) e il Centro operativo per la sicurezza (SOC) sono in genere inondati da con avvisi di sicurezza ed eventi imprevisti a intervalli regolari, in volumi così grandi che il personale disponibile viene sommerso. Questo risultato è troppo spesso in situazioni in cui molti avvisi vengono ignorati e molti eventi imprevisti non vengono esaminati, lasciando l'organizzazione vulnerabile agli attacchi che non vengono rilevati.

Microsoft Sentinel, oltre a essere un sistema SIEM, è anche una piattaforma per l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR). Uno dei suoi scopi principali consiste nell'automatizzare eventuali attività ricorrenti e prevedibili di arricchimento, risposta e correzione che sono responsabilità del centro operativo di sicurezza e del personale (SOC/SecOps), liberando tempo e risorse per un'analisi più approfondita delle minacce avanzate.

Questo articolo descrive le funzionalità SOAR di Microsoft Sentinel e illustra come l'uso di regole di automazione e playbook in risposta alle minacce alla sicurezza aumenta l'efficacia del SOC e consente di risparmiare tempo e risorse.

Importante

Microsoft Sentinel è disponibile nel portale di Microsoft Defender come parte della piattaforma operativa di sicurezza unificata. Microsoft Sentinel nel portale Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Regole di automazione

Microsoft Sentinel usa regole di automazione per consentire agli utenti di gestire l'automazione della gestione degli eventi imprevisti da una posizione centrale. Usare le regole di automazione per:

• Assegnare un'automazione più avanzata a eventi imprevisti e avvisi, usando i playbook
• Contrassegnare, assegnare o chiudere automaticamente gli eventi imprevisti senza un playbook
• Automatizzare le risposte per più regole di analisi contemporaneamente
• Creare elenchi di attività che gli analisti devono eseguire durante la valutazione, l'analisi e la correzione degli eventi imprevisti
• Controllare l'ordine delle azioni eseguite

È consigliabile applicare regole di automazione quando vengono creati o aggiornati eventi imprevisti per semplificare ulteriormente l'automazione e semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.

Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione

Playbook

Un playbook è una raccolta di logica e azioni di risposta e correzione che è possibile eseguire da Microsoft Sentinel come routine. Un playbook può:

• Semplificare l'automazione e l'orchestrazione della risposta alle minacce
• Eseguire l'integrazione con altri sistemi, interni ed esterni
• Essere configurato per l'esecuzione automatica in risposta ad avvisi o eventi imprevisti specifici o per l'esecuzione manuale su richiesta, ad esempio in risposta a nuovi avvisi

In Microsoft Sentinel, i playbook sono basati su flussi di lavoro basati su App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. Ciò significa che i playbook possono sfruttare tutta la potenza e la capacità di personalizzazione delle funzionalità di integrazione e orchestrazione di App per la logica, strumenti di progettazione facili da usare, nonché scalabilità, affidabilità e livello di servizio di un servizio di Azure di livello 1.

Per altre informazioni, vedere Automatizzare la risposta alle minacce con i playbook in Microsoft Sentinel

Automazione con la piattaforma unificata per le operazioni di sicurezza

Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, tenere presente le differenze seguenti nel modo in cui l'automazione funziona nell'area di lavoro:

Funzionalità	Descrizione
Regole di automazione con trigger di avviso	Nella piattaforma unificata per le operazioni di sicurezza, le regole di automazione con trigger di avviso agiscono solo sugli avvisi di Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione avvisi.
Regole di automazione con trigger per eventi imprevisti	Sia nel portale di Azure che nella piattaforma unificata per le operazioni di sicurezza, la proprietà della condizione provider evento imprevisto viene rimossa, poiché tutti gli eventi imprevisti Microsoft Defender XDR come provider di eventi imprevisti (il valore nel campo providername). A questo punto, tutte le regole di automazione esistenti vengono eseguite su eventi imprevisti di Microsoft Sentinel e Microsoft Defender XDR, inclusi quelli in cui la condizione provider di eventi imprevisti è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome specifico della regola di analisi verranno eseguite solo sugli eventi imprevisti creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione nome regola analitica a una regola di analisi esistente solo in Microsoft Sentinel per limitare l'esecuzione della regola solo in eventi imprevisti in Microsoft Sentinel. Per altre informazioni, vedere Condizioni di tigger per eventi imprevisti.
Modifiche ai nomi degli eventi imprevisti esistenti	Nella piattaforma operativa SOC unificata, il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nella piattaforma operativa SOC unificata, i nomi degli eventi imprevisti esistenti potrebbero essere modificati se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è quindi consigliabile evitare di usare i titoli degli eventi imprevisti nelle regole di automazione e si consiglia, invece, di usare tag.
Campo Aggiornamento eseguito da	Dopo l'onboarding dell'area di lavoro, il campo Aggiornamento eseguito da include un nuovo set di valori supportati, che non include più Microsoft 365 Defender. Nelle regole di automazione esistenti, Microsoft 365 Defender viene sostituito da un valore di Altro dopo l'onboarding dell'area di lavoro. Se vengono apportate più modifiche allo stesso evento imprevisto in un periodo di 5-10 minuti, viene inviato un singolo aggiornamento a Microsoft Sentinel, con solo la modifica più recente. Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti.
Regole di automazione che aggiungono attività eventi imprevisti	Se una regola di automazione aggiunge un'attività di evento imprevisto, l'attività viene visualizzata solo nel portale di Azure.
Regole di creazione di eventi imprevisti di Microsoft	Le regole di creazione degli eventi imprevisti Microsoft non sono supportate nella piattaforma unificata per le operazioni di sicurezza. Per altre informazioni, vedere Eventi imprevisti di Microsoft Defender XDR e regole di creazione degli eventi imprevisti Microsoft.
Esecuzione delle regole di automazione dal portale di Defender	Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e in cui viene creato o aggiornato un evento imprevisto nel portale di Defender a quando viene eseguita una regola di automazione. Questo intervallo di tempo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione.
Scheda playbook attivi	Dopo l'onboarding nella piattaforma unificata per le operazioni di sicurezza, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nel portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro della sottoscrizione. Per altre informazioni, vedere Creare e personalizzare playbook di Microsoft Sentinel da modelli di contenuti.
Esecuzione manuale di playbook su richiesta	Le procedure seguenti non sono attualmente supportate nella piattaforma unificata per le operazioni di sicurezza: Eseguire manualmente un playbook su un avviso Eseguire manualmente un playbook su un'entità (anteprima)
L'esecuzione di playbook sugli eventi imprevisti richiede la sincronizzazione di Microsoft Sentinel	Se si tenta di eseguire un playbook su un evento imprevisto dalla piattaforma unificata per le operazioni di sicurezza e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornare la schermata tra pochi minuti.", significa che l'evento imprevisto non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo la sincronizzazione per eseguire correttamente il playbook.

Contenuto correlato

• Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione
• Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
• Creare e usare regole di automazione di Microsoft Sentinel per gestire le risposte