Creare e gestire playbook di Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I playbook sono raccolte di procedure che possono essere eseguite da Microsoft Sentinel in risposta a un intero evento imprevisto, a un singolo avviso o a un'entità specifica. Un playbook consente di automatizzare e orchestrare la risposta e può essere collegato a una regola di automazione per l'esecuzione automatica quando vengono generati avvisi specifici o quando vengono creati o aggiornati eventi imprevisti. I playbook possono anche essere eseguiti manualmente su richiesta su eventi imprevisti, avvisi o entità specifici.

Questo articolo descrive come creare e gestire playbook di Microsoft Sentinel. È possibile collegare questi playbook in un secondo momento alle regole di analisi o alle regole di automazione oppure eseguirli manualmente in eventi imprevisti, avvisi o entità specifici.

Nota

I playbook in Microsoft Sentinel sono basati su flussi di lavoro basati su App per la logica di Azure, il che significa che si ottengono tutte le potenzialità, la personalizzazione e i modelli predefiniti di App per la logica. Possono essere applicati addebiti aggiuntivi. Per altri dettagli, visitare la pagina dei prezzi di App per la logica di Azure.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per creare e gestire playbook, è necessario accedere a Microsoft Sentinel con uno dei ruoli di Azure seguenti:

• Collaboratore app per la logica, per modificare e gestire le app per la logica
• Operatore app per la logica, per leggere, abilitare e disabilitare le app per la logica

Per altre informazioni, vedere Prerequisiti del playbook di Microsoft Sentinel.

È consigliabile leggere App per la logica di Azure per i playbook di Microsoft Sentinel prima di creare il playbook.

Creare un playbook

Seguire questa procedura per creare un nuovo playbook in Microsoft Sentinel:

1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione . Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione .

   Azure portal

   

   Portale di Defender

   

2. Dal menu in alto selezionare Crea e quindi selezionare una delle opzioni seguenti:

   1. Se si sta creando un playbook Standard, selezionare Playbook vuoto e quindi seguire i passaggi per il tipo di app per la logica Standard.

   2. Se si sta creando un playbook a consumo, selezionare una delle opzioni seguenti, a seconda del trigger che si vuole usare e quindi seguire i passaggi nella scheda Consumo di App per la logica di seguito:

      • Playbook con trigger di eventi imprevisti
      • Playbook con trigger di avviso
      • Playbook con trigger di entità

   Per altre informazioni, vedere Tipi di app per la logica supportati e Trigger e azioni supportati nei playbook di Microsoft Sentinel.

Preparare l'app per la logica del playbook

Selezionare una delle schede seguenti per informazioni dettagliate su come creare un'app per la logica per il playbook, a seconda che si usi un flusso di lavoro a consumo o Standard . Per altre informazioni, vedere Tipi di app per la logica supportati.

Consumo

La procedura guidata Crea playbook viene visualizzata dopo aver selezionato il trigger da usare, incluso un evento imprevisto, un avviso o un trigger di entità. Ad esempio:

Eseguire le operazioni seguenti per creare il playbook:

1. Nella scheda Informazioni di base:

   1. Selezionare la sottoscrizione, il gruppo di risorse e l'area a scelta tra i rispettivi elenchi a discesa. L'area selezionata è la posizione in cui vengono archiviate le informazioni sull'app per la logica.

   2. Immettere un nome per il playbook in Nome playbook.

   3. Se si vuole monitorare l'attività di questo playbook a scopo di diagnostica, selezionare la casella di controllo Abilita log di diagnostica in Log Analytics e selezionare l'area di lavoro Log Analytics dall'elenco a discesa.

   4. Se i playbook devono accedere alle risorse protette che si trovano all'interno o connesse a una rete virtuale di Azure, potrebbe essere necessario usare un ambiente del servizio di integrazione (ISE). In tal caso, selezionare la casella di controllo Associa all'ambiente del servizio di integrazione e selezionare l'I edizione Standard pertinente nell'elenco a discesa.

   5. Selezionare Avanti: Connessione ions >.

2. Nella scheda Connessione ions è consigliabile lasciare i valori predefiniti, configurando App per la logica per connettersi a Microsoft Sentinel con identità gestita. Per altre informazioni, vedere Autenticare i playbook in Microsoft Sentinel.

   Selezionare Avanti: rivedi e crea > per continuare.

3. Nella scheda Rivedi e crea esaminare le scelte di configurazione effettuate e selezionare Crea e continua con la finestra di progettazione.

   Il playbook richiederà alcuni minuti per la creazione e la distribuzione, dopo il quale viene visualizzato il messaggio "La distribuzione è stata completata" e si passa alla finestra di progettazione dell'app per la logica del nuovo playbook. Il trigger scelto all'inizio viene aggiunto automaticamente come primo passaggio ed è possibile continuare a progettare il flusso di lavoro da questa posizione.

   

4. Se si sceglie il trigger di entità di Microsoft Sentinel, selezionare il tipo di entità che si vuole che questo playbook riceva come input.

   

Standard

Poiché i playbook basati sul flusso di lavoro Standard non supportano i modelli di playbook, è prima necessario creare l'app per la logica, quindi creare il playbook e infine scegliere il trigger per il playbook.

Dopo aver selezionato l'opzione Playbook vuoto, viene aperta una nuova scheda del browser con la procedura guidata Crea app per la logica. Ad esempio:

Creare un'app per la logica

1. Nella scheda Informazioni di base digitare le informazioni seguenti:

   1. Selezionare la sottoscrizione e il gruppo di risorse scelti tra i rispettivi elenchi a discesa.
   2. Immettere un nome per l'app per la logica. Per Pubblica selezionare Flusso di lavoro. Selezionare l'area in cui si vuole distribuire l'app per la logica.
   3. Per Tipo di piano selezionare Standard.
   4. Selezionare Avanti: Hosting >di .

2. Nella scheda Hosting :

   1. Per Archiviazione tipo, selezionare Archiviazione di Azure e selezionare o creare un account Archiviazione.
   2. Selezionare un piano di Windows.

3. Nella scheda Monitoraggio :

   1. Se si vuole abilitare il monitoraggio delle prestazioni in Monitoraggio di Azure per questa applicazione, lasciare l'interruttore sì. In caso contrario, attivarlo su No.

      Nota

      Questo monitoraggio non è necessario per Microsoft Sentinel e comporta costi aggiuntivi.

   2. Facoltativamente, selezionare Avanti: tag > per applicare tag a questa app per la logica per la categorizzazione e la fatturazione delle risorse. In caso contrario, selezionare Rivedi e crea.

4. Nella scheda Rivedi e crea esaminare le scelte di configurazione effettuate e selezionare Crea.

   Il playbook richiede alcuni minuti per la creazione e la distribuzione, durante i quali vengono visualizzati alcuni messaggi di distribuzione. Al termine del processo, viene visualizzata la schermata finale della distribuzione, in cui viene visualizzato il messaggio "La distribuzione è stata completata".

5. Selezionare Vai alla risorsa. Viene visualizzata la pagina principale della nuova app per la logica.

   A differenza dei playbook classici a consumo, non è ancora stato fatto. È ora necessario creare un flusso di lavoro.

Creare un flusso di lavoro per il playbook

1. Nella pagina dei dettagli dell'app per la logica selezionare Flussi di lavoro > e aggiungi. Il pulsante + Aggiungi potrebbe richiedere alcuni istanti per diventare attivo.

2. Nel riquadro Nuovo flusso di lavoro visualizzato:

   1. Immettere un nome significativo per il flusso di lavoro.
   2. In Tipo di stato selezionare Con stato. Microsoft Sentinel non supporta l'uso di flussi di lavoro senza stato come playbook.
   3. Seleziona Crea.

   Il flusso di lavoro viene salvato e visualizzato nell'elenco dei flussi di lavoro nell'app per la logica.

3. Selezionare il nuovo flusso di lavoro per continuare e accedere alla pagina dei dettagli del flusso di lavoro. Qui è possibile visualizzare tutte le informazioni sul flusso di lavoro, incluso un record di tutte le volte in cui viene eseguito.

4. Nella pagina dei dettagli del flusso di lavoro selezionare Progettazione.

5. Viene visualizzata la pagina Progettazione e viene richiesto di aggiungere un trigger e continuare a progettare il flusso di lavoro. Ad esempio:

   

Aggiungere il trigger

1. Nella pagina Progettazione selezionare la scheda Azure e immettere Sentinel nella casella Di ricerca. La scheda Trigger mostra i trigger supportati da Microsoft Sentinel, tra cui:

   • Avviso di Microsoft Sentinel
   • Entità di Microsoft Sentinel
   • Evento imprevisto di Microsoft Sentinel

   Ad esempio:

   

2. Se si sceglie il trigger di entità di Microsoft Sentinel, selezionare il tipo di entità che si vuole che questo playbook riceva come input. Ad esempio:

   

Per altre informazioni, vedere Trigger e azioni supportati nei playbook di Microsoft Sentinel.

Aggiungere azioni al playbook

Ora che si dispone di un'app per la logica, definire cosa accade quando si chiama il playbook. Aggiungere azioni, condizioni logiche, cicli o cambiare condizioni del caso, tutte selezionando Nuovo passaggio. Questa selezione apre un nuovo frame nella finestra di progettazione, in cui è possibile scegliere un sistema o un'applicazione con cui interagire o una condizione da impostare. Immettere il nome del sistema o dell'applicazione nella barra di ricerca nella parte superiore del frame e quindi scegliere tra i risultati disponibili.

In ognuno di questi passaggi, facendo clic su un campo viene visualizzato un pannello con i menu seguenti:

• Contenuto dinamico: aggiungere riferimenti agli attributi dell'avviso o dell'evento imprevisto passato al playbook, inclusi i valori e gli attributi di tutte le entità mappate e i dettagli personalizzati contenuti nell'avviso o nell'evento imprevisto. Per esempi di uso del contenuto dinamico, vedere:

  • Usare playbook di entità senza ID evento imprevisto
  • Usare i dettagli personalizzati

• Espressione: scegliere una libreria di funzioni di grandi dimensioni per aggiungere più logica ai passaggi.

Per altre informazioni, vedere Trigger e azioni supportati nei playbook di Microsoft Sentinel.

Richieste di autenticazione

Quando si sceglie un trigger o qualsiasi azione successiva, viene richiesto di eseguire l'autenticazione a qualsiasi provider di risorse con cui si interagisce. In questo caso, il provider è Microsoft Sentinel e sono disponibili alcune opzioni di autenticazione. Per altre informazioni, vedi:

• Autenticare i playbook in Microsoft Sentinel
• Trigger e azioni supportati nei playbook di Microsoft Sentinel

Contenuto dinamico: usare playbook di entità senza ID evento imprevisto

I playbook creati con il trigger di entità spesso usano il campo ID ARM imprevisto, ad esempio per aggiornare un evento imprevisto dopo aver eseguito un'azione sull'entità.

Se un playbook di questo tipo viene attivato in un contesto non connesso a un evento imprevisto, ad esempio durante la ricerca di minacce, non esiste un evento imprevisto il cui ID può popolare questo campo. In questo caso, il campo viene popolato con un valore Null.

Di conseguenza, il playbook potrebbe non riuscire a essere completato. Per evitare questo errore, è consigliabile creare una condizione che verifichi la presenza di un valore nel campo ID evento imprevisto prima di eseguire azioni su di esso e di prescrivere un set diverso di azioni se il campo ha un valore Null, ovvero se il playbook non viene eseguito da un evento imprevisto.

Effettua i passaggi seguenti:

1. Prima della prima azione che fa riferimento al campo ID ARM evento imprevisto, aggiungere un passaggio Condizione .

2. Sul lato selezionare il campo Scegli un valore per immettere la finestra di dialogo Aggiungi contenuto dinamico.

3. Selezionare Incident ARM ID (Facoltativo) e non è uguale all'operatore .

4. Selezionare di nuovo Scegli un valore per immettere la finestra di dialogo Aggiungi contenuto dinamico.

5. Selezionare la scheda Espressione e la funzione Null.

Ad esempio:

Contenuto dinamico: Usare i dettagli personalizzati

Il campo dinamico Dettagli personalizzati avviso, disponibile nel trigger dell'evento imprevisto, è una matrice di oggetti JSON, ognuno dei quali rappresenta un dettaglio personalizzato di un avviso. I dettagli personalizzati sono coppie chiave-valore che consentono di visualizzare informazioni dagli eventi nell'avviso in modo che possano essere rappresentate, monitorate e analizzate come parte dell'evento imprevisto.

Poiché questo campo nell'avviso è personalizzabile, il relativo schema dipende dal tipo di evento visualizzato. Fornire dati da un'istanza di questo evento per generare lo schema che determina la modalità di analisi del campo dei dettagli personalizzati.

Ad esempio:

In queste coppie chiave-valore:

• La chiave, nella colonna sinistra, rappresenta i campi personalizzati creati.
• Il valore, nella colonna destra, rappresenta i campi dei dati dell'evento che popolano i campi personalizzati.

Specificare il codice JSON seguente per generare lo schema. Il codice mostra i nomi delle chiavi come matrici e i valori come elementi nelle matrici. I valori vengono visualizzati come valori effettivi, non come colonna che contiene i valori.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Per usare campi personalizzati per i trigger degli eventi imprevisti:

1. Aggiungere un nuovo passaggio usando l'azione predefinita Analizza JSON . Immettere "parse json" nel campo Cerca per trovarla, se necessario.

2. Trovare e selezionare Dettagli personalizzati avvisi nell'elenco Contenuto dinamico, sotto il trigger dell'evento imprevisto. Ad esempio:

   

   Verrà creato un ciclo For each , poiché un evento imprevisto contiene una matrice di avvisi.

3. Selezionare il collegamento Usa payload di esempio per generare lo schema . Ad esempio:

   

4. Fornire un payload di esempio. Ad esempio, è possibile trovare un payload di esempio cercando in Log Analytics un'altra istanza di questo avviso e copiando l'oggetto dettagli personalizzato, disponibile in Proprietà estese. Accedere ai dati di Log Analytics nella pagina Log del portale di Azure o nella pagina Ricerca avanzata nel portale di Defender. Nello screenshot seguente è stato usato il codice JSON illustrato in precedenza.

   

I campi personalizzati sono pronti per essere usati come campi dinamici di tipo Array. Ad esempio, lo screenshot seguente mostra una matrice e i relativi elementi, sia nello schema che nell'elenco visualizzato in Contenuto dinamico, descritto in questa sezione:

Gestire i playbook

Selezionare la scheda Playbook attivi di Automazione > per visualizzare tutti i playbook a cui si ha accesso, filtrati in base alla visualizzazione della sottoscrizione.

Dopo l'onboarding nella piattaforma unificata per le operazioni di sicurezza, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nella portale di Azure modificare le sottoscrizioni visualizzate dal menu Directory e sottoscrizione nell'intestazione della pagina globale di Azure.

Mentre nella scheda Playbook attivi vengono visualizzati tutti i playbook attivi disponibili in tutte le sottoscrizioni selezionate, per impostazione predefinita un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.

La scheda Playbook attivi mostra i playbook con i dettagli seguenti:

Nome colonna	Descrizione
Stato	Indica se il playbook è abilitato o disabilitato.
Piano	Indica se il playbook usa il tipo di risorsa Standard o Consumption App per la logica di Azure. I playbook del tipo Standard usano la LogicApp/Workflow convenzione di denominazione, che riflette il modo in cui un playbook Standard rappresenta un flusso di lavoro esistente insieme ad altri flussi di lavoro in una singola app per la logica. Per altre informazioni, vedere App per la logica di Azure per i playbook di Microsoft Sentinel.
Tipo di trigger	Indica il trigger App per la logica di Azure che avvia questo playbook: - Evento imprevisto/avviso/entità di Microsoft Sentinel: il playbook viene avviato con uno dei trigger di Sentinel, inclusi eventi imprevisti, avvisi o entità - Uso dell'azione di Microsoft Sentinel: il playbook viene avviato con un trigger non Di Microsoft Sentinel, ma usa un'azione di Microsoft Sentinel - Altro: il playbook non include alcun componente di Microsoft Sentinel - Non inizializzato: il playbook è stato creato, ma non contiene componenti, né attiva alcuna azione.

Selezionare un playbook per aprire la relativa pagina App per la logica di Azure, che mostra altri dettagli sul playbook. Nella pagina App per la logica di Azure:

• Visualizzare un log di tutte le volte in cui è stato eseguito il playbook
• Visualizzare i risultati dell'esecuzione, inclusi i successi e gli errori e altri dettagli
• Se si dispone delle autorizzazioni pertinenti, aprire la finestra di progettazione del flusso di lavoro in App per la logica di Azure per modificare direttamente il playbook

Contenuto correlato

Dopo aver creato il playbook, associarlo alle regole da attivare dagli eventi nell'ambiente o eseguire manualmente i playbook su eventi imprevisti, avvisi o entità specifici.

Per altre informazioni, vedi:

• Automatizzare ed eseguire playbook di Microsoft Sentinel
• Autenticare i playbook in Microsoft Sentinel
• Usare un playbook di Microsoft Sentinel per arrestare gli utenti potenzialmente compromessi