Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I centri operativi di sicurezza (SOC) affrontano un flusso costante di avvisi e eventi imprevisti di sicurezza. La gestione di queste funzionalità in modo efficiente è fondamentale per mantenere forte la sicurezza dell'organizzazione. I playbook di Microsoft Sentinel sono flussi di lavoro automatizzati che consentono di rispondere alle minacce in modo rapido e coerente. Questo articolo illustra come usare i playbook in Microsoft Sentinel per automatizzare la risposta alle minacce, ridurre il lavoro manuale e consentire al team di concentrarsi sulle indagini più approfondite.
Usare i playbook di Microsoft Sentinel per eseguire set preconfigurati di azioni correttive e automatizzare e orchestrare la risposta alle minacce. Eseguire automaticamente i playbook in risposta a specifici avvisi e incidenti imprevisti che attivano una regola di automazione configurata, oppure eseguili manualmente per una particolare entità o avviso.
Ad esempio, se un account e un computer sono compromessi, un playbook può isolare automaticamente il computer dalla rete e bloccare l'account prima che il team SOC riceve una notifica dell'evento imprevisto.
Nota
Poiché i playbook usano Azure Logic Apps, possono essere applicati costi aggiuntivi. Vai alla pagina dei prezzi di Azure Logic Apps per maggiori dettagli.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Casi d'uso consigliati
La tabella seguente elenca i casi d'uso comuni in cui i playbook di Microsoft Sentinel consentono di automatizzare la risposta alle minacce:
| Caso d'uso | Descrizione |
|---|---|
| Arricchimento | Raccogliere i dati e collegarli a un evento imprevisto in modo che il team possa prendere decisioni migliori. |
| Sincronizzazione bidirezionale | Sincronizzare gli eventi imprevisti di Microsoft Sentinel con altri sistemi di ticket. Ad esempio, creare una regola di automazione per tutti i nuovi eventi imprevisti e allegare un playbook che apre un ticket in ServiceNow. |
| Orchestrazione | Usare la piattaforma di chat del team SOC per gestire la coda degli incidenti. Ad esempio, inviare un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack in modo che gli analisti della sicurezza sappiano l'evento imprevisto. |
| Risposta | Rispondere immediatamente alle minacce con un coinvolgimento umano minimo, ad esempio quando viene rilevato un utente o un computer compromesso. In alternativa, attivare manualmente i passaggi automatizzati durante un'indagine o durante la ricerca. |
Per altre informazioni, vedere Casi d'uso del playbook consigliati, modelli ed esempi.
Prerequisiti
Sono necessari i seguenti ruoli per usare Azure Logic Apps per creare ed eseguire playbook in Microsoft Sentinel.
| Ruolo | Descrizione |
|---|---|
| Proprietario | Consente di concedere l'accesso ai playbook nel gruppo di risorse. |
| Collaboratore di Microsoft Sentinel | Consente di collegare un playbook a una regola di analisi o di automazione. |
| Risponditore di Microsoft Sentinel | Consente di accedere a un evento imprevisto per eseguire manualmente un playbook, ma non consente di eseguire il playbook. |
| Operatore di playbook di Microsoft Sentinel | Consente di eseguire manualmente un playbook. |
| Collaboratore all'automazione di Microsoft Sentinel | Consente alle regole di automazione di eseguire playbook. Questo ruolo non viene usato per altri scopi. |
La tabella seguente descrive i ruoli necessari in base alla selezione di un'app per la logica a consumo o standard per creare il playbook:
| App per la logica | Ruoli di Azure | Descrizione |
|---|---|---|
| Consumo | Contributor dell'app Logica | Modificare e gestire le app per la logica. Esegui playbook. Non consente di concedere l'accesso ai playbook. |
| Consumo | Operatore di Logic App | Leggere, abilitare e disabilitare le app per la logica. Non consente di modificare o aggiornare le app per la logica. |
| Normale | Operatore standard di Logic Apps | Abilitare, inviare di nuovo e disabilitare i flussi di lavoro in un'app per la logica. |
| Normale | Sviluppatore standard di App per la logica | Creare e modificare app per la logica. |
| Normale | Collaboratore standard di Logic Apps | Gestire tutti gli aspetti di un'app per la logica. |
Nella scheda Playbooks attivi della pagina Automazione vengono visualizzati tutti i playbooks attivi disponibili per qualsiasi sottoscrizione selezionata. Per impostazione predefinita, un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.
Autorizzazioni aggiuntive necessarie per l'esecuzione di playbook in Microsoft Sentinel
Microsoft Sentinel usa un account del servizio per eseguire playbook sugli incidenti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da incidenti o quando si esegue manualmente un playbook in un incidente specifico.
Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel . Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.
Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo di amministratore di accesso proprietario o utente . Per eseguire i playbook, avrai anche bisogno del ruolo Collaboratore Applicazione logica nel gruppo di risorse che contiene i playbook da eseguire.
Modelli di playbook (anteprima)
Importante
I modelli di playbook sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
I modelli di playbook sono flussi di lavoro predefiniti, testati e pronti per l'uso che non sono utilizzabili come playbook veri e propri, ma sono pronti per essere personalizzati in base alle proprie esigenze. È anche consigliabile usare i modelli di playbook come riferimento alle procedure consigliate per lo sviluppo di playbook da zero o come ispirazione per nuovi scenari di automazione.
Ottieni modelli di playbook da queste fonti.
| Ufficio | Descrizione |
|---|---|
| Pagina automazione di Microsoft Sentinel | La scheda Modelli playbook mostra tutti i playbook installati. Creare uno o più playbook attivi usando lo stesso modello. Quando viene pubblicata una nuova versione di un modello, tutti i playbook attivi creati da tale modello ottengono un'etichetta aggiuntiva nella scheda Playbook attivi per indicare che è disponibile un aggiornamento. |
| Pagina hub del contenuto di Microsoft Sentinel | I modelli di playbook fanno parte delle soluzioni di prodotto o dei contenuti autonomi installati dall'Content hub. Per altre informazioni, vedere: Informazioni sui contenuti e le soluzioni di Microsoft Sentinel Esplorare e gestire contenuti predefiniti di Microsoft Sentinel |
| GitHub | Il repository GitHub di Microsoft Sentinel include molti altri modelli di playbook. Selezionare Distribuisci in Azure per distribuire un modello nella sottoscrizione di Azure. |
Un modello di playbook è un modello di Azure Resource Manager (ARM) che include diverse risorse: un flusso di lavoro di Logic Apps di Azure e le connessioni API per ciascuna connessione coinvolta.
Per altre informazioni, vedi:
- Creare e personalizzare playbook di Microsoft Sentinel dai modelli di contenuto
- Modelli di playbook consigliati
- Playbook di Azure Logic Apps per Microsoft Sentinel
Flusso di lavoro di creazione e utilizzo del playbook
Seguire questa procedura per creare ed eseguire playbook di Microsoft Sentinel:
Definire lo scenario di automazione. Esaminare i casi d'uso dei playbook consigliati e i modelli di playbook per iniziare.
Se non si usa un modello, creare il playbook e compilare l'app per la logica. Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.
Testare l'app per la logica eseguendola manualmente. Per altre informazioni, vedere Eseguire manualmente un playbook su richiesta.
Configura il playbook per il funzionamento automatico quando viene creato un nuovo avviso o incidente, oppure eseguilo manualmente secondo le necessità del tuo processo. Per altre informazioni, vedere Rispondere alle minacce con i playbook di Microsoft Sentinel.