Automatizzare ed eseguire playbook di Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I playbook sono raccolte di procedure che possono essere eseguite da Microsoft Sentinel in risposta a un intero evento imprevisto, a un singolo avviso o a un'entità specifica. Un playbook può essere utile per automatizzare e orchestrare la risposta e può essere impostato per l'esecuzione automatica quando vengono generati avvisi specifici o quando vengono creati o aggiornati eventi imprevisti, associandosi a una regola di automazione. Può anche essere eseguito manualmente su richiesta su eventi imprevisti, avvisi o entità specifici.

Questo articolo descrive come collegare playbook alle regole di analisi o alle regole di automazione oppure eseguire manualmente playbook su eventi imprevisti, avvisi o entità specifici.

Nota

I playbook in Microsoft Sentinel sono basati su flussi di lavoro basati su App per la logica di Azure, il che significa che si ottengono tutte le potenzialità, la personalizzazione e i modelli predefiniti di App per la logica. Potrebbero essere applicati addebiti aggiuntivi. Per altre informazioni, vedere la pagina dei prezzi per App per la logica di Azure.

Importante

Microsoft Sentinel è disponibile nel portale di Microsoft Defender come parte della piattaforma operativa di sicurezza unificata. Microsoft Sentinel nel portale Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di iniziare, assicurarsi di disporre di un playbook disponibile per automatizzare o eseguire, con un trigger, condizioni e azioni definite. Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.

Ruoli di Azure necessari per eseguire playbook

Per eseguire i playbook, sono necessari i ruoli di Azure seguenti:

Ruolo	Descrizione
Proprietario	Consente di concedere l'accesso ai playbook nel gruppo di risorse.
Collaboratore di Microsoft Sentinel	Collegare un playbook a una regola di analisi o a una regola di automazione
Risponditore di Microsoft Sentinel	Accedere a un evento imprevisto per eseguire manualmente un playbook. Per eseguire effettivamente il playbook, sono necessari anche i ruoli seguenti: - Operatore playbook di Microsoft Sentinel, per eseguire manualmente un playbook Ruolo - Collaboratore automazione di Microsoft Sentinel, per consentire alle regole di automazione di eseguire playbook.

Per altre informazioni, vedere la sezione Prerequisiti del playbook.

Autorizzazioni aggiuntive necessarie per eseguire playbook sugli eventi imprevisti

Microsoft Sentinel usa un account del servizio per eseguire playbook sugli eventi imprevisti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da eventi imprevisti o quando si esegue manualmente un playbook in un evento imprevisto specifico.

Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel. Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.

Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo Proprietario o Amministratore accesso utente. Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.

Configurare le autorizzazioni del playbook per gli eventi imprevisti in una distribuzione multi-tenant

In una distribuzione multi-tenant, se il playbook da eseguire si trova in un tenant diverso, è necessario concedere all'account del servizio Microsoft Sentinel l'autorizzazione per eseguire il playbook nel tenant del playbook.

1. Nel menu di spostamento di Microsoft Sentinel nel tenant dei playbook selezionare Impostazioni.

2. Nella pagina Impostazioni selezionare la scheda Impostazioni, quindi espandere Autorizzazioni playbook.

3. Selezionare il pulsante Configura autorizzazioni per aprire il pannello Gestisci autorizzazioni.

4. Contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica. Ad esempio:

   

È necessario avere autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook da eseguire.

Se in uno scenario MSSP si vuole eseguire un playbook in un tenant del cliente da una regola di automazione creata durante l'accesso al tenant del provider di servizi, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook in entrambi i tenant:

• Nel tenant del cliente seguire le istruzioni standard per la distribuzione multi-tenant.

• Nel tenant del provider di servizi aggiungere l'app Azure Security Insights nel modello di onboarding di Azure Lighthouse come indicato di seguito:

  1. Nel portale di Azure, passare alla pagina Microsoft Entra ID e selezionare Applicazioni aziendali.
  2. Selezionare Tipo di applicazione e filtrare Applicazioni Microsoft.
  3. Nella casella di ricerca immettere Azure Security Insights.
  4. Copiare il campo ID oggetto. È necessario aggiungere questa autorizzazione aggiuntiva alla delega di Azure Lighthouse esistente.

Il ruolo Collaboratore automazione di Microsoft Sentinel ha un GUID fisso di f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un'autorizzazione di Azure Lighthouse di esempio sarà simile alla seguente nel modello di parametri:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatizzare le risposte agli eventi imprevisti e agli avvisi

Per rispondere automaticamente a interi eventi imprevisti o singoli avvisi con un playbook, creare una regola di automazione eseguita quando l'evento imprevisto viene creato o aggiornato o quando viene generato l'avviso. Questa regola di automazione include un passaggio che chiama il playbook che si vuole usare.

Per creare una regola di automazione:

1. Nella pagina Automazione del menu di spostamento di Microsoft Sentinel selezionare Crea dal menu in alto e quindi regola di automazione. Ad esempio:

   

2. Viene visualizzato il pannello Crea nuova regola di automazione. Immettere un nome per la regola. Le opzioni variano a seconda che l'area di lavoro sia o meno integrata nella piattaforma operativa di sicurezza unificata. Ad esempio:

   Aree di lavoro di cui è stato eseguito l'onboarding

   

   Aree di lavoro di cui non è stato eseguito l'onboarding

   

3. Trigger: selezionare il trigger appropriato in base alla circostanza per cui si sta creando la regola di automazione: Quando viene creato l'evento imprevisto, Quando viene aggiornato l'evento imprevisto o Quando viene creato un avviso.

4. Condizioni:

   1. Se l'area di lavoro non è ancora stata sottoposta a onboarding nella piattaforma unificata per le operazioni di sicurezza, gli eventi imprevisti possono avere due possibili origini:

      • È possibile creare eventi imprevisti all'interno di Microsoft Sentinel
      • Gli eventi imprevisti possono essere importati e sincronizzati con Microsoft Defender XDR.

      Se è stato selezionato uno dei trigger di eventi imprevisti e si vuole che la regola di automazione venga applicata solo agli eventi imprevisti originati in Microsoft Sentinel o in alternativa in Microsoft Defender XDR, specificare l'origine nella condizione Se il provider di eventi imprevisti è uguale.

      Questa condizione viene visualizzata solo se è selezionato un trigger di evento imprevisto e l'area di lavoro non viene sottoposta a onboarding nella piattaforma unificata per le operazioni di sicurezza.

   2. Per tutti i tipi di trigger, se si vuole che la regola di automazione venga applicata solo a determinate regole di analisi, specificare quali modificando la condizione Se il nome della regola di analisi contiene.

   3. Aggiungere eventuali altre condizioni per cui determinare l'esecuzione di questa regola di automazione. Selezionare + Aggiungi e selezionare condizioni o gruppi di condizioni dall'elenco a discesa. L'elenco delle condizioni viene popolato dai campi dettagli avviso e identificatore di entità.

5. Azioni:

   1. Poiché si usa questa regola di automazione per eseguire un playbook, selezionare l'azione Esegui playbook dall'elenco a discesa. Verrà quindi richiesto di selezionare da un secondo elenco a discesa che mostra i playbook disponibili. Una regola di automazione può eseguire solo i playbook che iniziano con lo stesso trigger (evento imprevisto o avviso) del trigger definito nella regola, quindi solo quei playbook vengono visualizzati nell'elenco.

      Se non è disponibile alcun playbook nell'elenco a discesa, significa che Microsoft Sentinel non dispone dell'autorizzazione per il gruppo di risorse del playbook. Selezionare il collegamento Gestire le autorizzazioni del playbook per assegnare le autorizzazioni.

      Nel pannello Gestisci autorizzazioni che si apre selezionare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e quindi Applica. Ad esempio:

      

      È necessario avere autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook da eseguire.

      Per altre informazioni, vedere Autorizzazioni aggiuntive necessarie per eseguire playbook sugli eventi imprevisti.

   2. Aggiungere tutte le altre azioni desiderate per questa regola. È possibile modificare l'ordine di esecuzione delle azioni selezionando le frecce su o giù a destra di qualsiasi azione.

6. Impostare una data di scadenza per la regola di automazione, se necessario.

7. Immettere un numero in Ordine per determinare dove vengono eseguite le regole di automazione nella sequenza di regole di automazione.

8. Selezionare Applica per completare l'automazione.

Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.

Rispondere agli avvisi: metodo legacy

Un altro modo per eseguire automaticamente i playbook in risposta agli avvisi consiste nel chiamarli da una regola di analisi. Quando la regola genera un avviso, viene eseguito il playbook.

Questo metodo verrà deprecato a partire da marzo 2026.

A partire da giugno 2023, non è più possibile aggiungere playbook alle regole di analisi in questo modo. Tuttavia, è comunque possibile visualizzare i playbook esistenti chiamati dalle regole di analisi e questi playbook verranno comunque eseguiti fino a marzo 2026. È consigliabile creare regole di automazione per chiamare questi playbook prima di allora.

Eseguire manualmente un playbook su richiesta

È anche possibile eseguire manualmente un playbook su richiesta, in risposta a avvisi, eventi imprevisti o entità. Questo può essere utile in situazioni in cui si desidera un maggiore contributo umano e un maggiore controllo sui processi di orchestrazione e di risposta.

Eseguire un playbook manualmente in un avviso

Questa procedura non è supportata nella piattaforma unificata per le operazioni di sicurezza.

Nel portale di Azure selezionare una delle schede seguenti in base alle esigenze dell'ambiente:

Dettagli evento imprevisto

1. Nella pagina Eventi imprevisti selezionare un evento imprevisto e quindi selezionare Visualizza dettagli completi per aprire la pagina dei dettagli dell'evento imprevisto.

2. Nella pagina dei dettagli dell'evento imprevisto, nel widget Sequenza temporale degli eventi imprevisti selezionare l'avviso in cui si vuole eseguire il playbook. Selezionare i tre puntini alla fine della riga dell'avviso e selezionare Esegui playbook dal menu a comparsa.

   

3. Viene visualizzato il riquadro Playbook di avviso. Viene visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli avvisi di Microsoft Sentinel a cui si ha accesso.

4. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

Grafico di indagine

1. Nella pagina Eventi imprevisti selezionare un evento imprevisto e quindi selezionare Visualizza dettagli completi per aprire la pagina dei dettagli dell'evento imprevisto.

2. Nella pagina dei dettagli dell'evento imprevisto selezionare la scheda Avvisi, scegliere l'avviso in cui si vuole eseguire il playbook e quindi selezionare il collegamento Visualizza playbook alla fine della riga dell'avviso.

3. Viene visualizzato il riquadro Playbook di avviso. Viene visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli avvisi di Microsoft Sentinel a cui si ha accesso.

4. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia di esecuzione per i playbook in un avviso selezionando la scheda Esecuzioni nel riquadro Playbook di avviso. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.

Eseguire manualmente un playbook su un evento imprevisto

Questa procedura è diversa, a seconda che si stia lavorando in Microsoft Sentinel o nella piattaforma unificata per le operazioni di sicurezza. Selezionare la scheda pertinente per l'ambiente:

Azure portal

1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

2. Nel riquadro dei dettagli dell'evento imprevisto visualizzato sul lato selezionare Azioni > Esegui playbook.

   Selezionando i tre puntini alla fine della riga dell'evento imprevisto nella griglia o facendo clic con il pulsante destro del mouse sull'evento imprevisto viene visualizzato lo stesso elenco del pulsante Azione.

3. Il pannello Esegui playbook sull'evento imprevisto si apre sul lato. Viene visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli eventi imprevisti di Microsoft Sentinel a cui si ha accesso.

   Se non viene visualizzato il playbook che si vuole eseguire nell'elenco, significa che Microsoft Sentinel non dispone delle autorizzazioni per eseguire playbook in tale gruppo di risorse.

   Per concedere tali autorizzazioni, selezionare Impostazioni>Impostazioni>Autorizzazioni playbook>Configura autorizzazioni. Nel pannello Gestisci autorizzazioni che si apre selezionare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e quindi Applica.

   Per informazioni, vedere Autorizzazioni aggiuntive necessarie per eseguire playbook sugli eventi imprevisti.

4. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

   È necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente playbook da eseguire. Se non si riesce a eseguire il playbook a causa di autorizzazioni mancanti, è consigliabile contattare un amministratore per chiedere di concederle. Per altre informazioni, vedere Prerequisiti dei playbook Microsoft Sentinel.

Portale Microsoft Defender

1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

2. Nel riquadro dei dettagli dell'evento imprevisto visualizzato sul lato selezionare Esegui playbook.

3. Si apre a fianco il pannello Esegui playbook in caso di evento imprevisto, con tutti i playbook correlati per l'evento imprevisto selezionato. Nella colonna Azione selezionare Esegui playbook per il playbook che si vuole eseguire immediatamente.

La colonna Azioni potrebbe mostrare anche uno dei seguenti stati:

Status	Descrizione e azione necessarie
Autorizzazioni mancanti	È necessario disporre del ruolo Operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente playbook da eseguire. Se mancano le autorizzazioni, è consigliabile contattare un amministratore per chiedere di concederle. Per altre informazioni, vedere Prerequisiti dei playbook Microsoft Sentinel.
Concedere un'autorizzazione	Microsoft Sentinel non ha il ruolo Collaboratore automazione di Microsoft Sentinel, necessario per eseguire playbook sugli eventi imprevisti. In questi casi selezionare Concedere l'autorizzazione per aprire il riquadro Gestisci autorizzazioni. Il riquadro Gestisci autorizzazioni viene filtrato per impostazione predefinita in base al gruppo di risorse del playbook selezionato. Selezionare il gruppo di risorse e quindi selezionare Applica per concedere le autorizzazioni necessarie. È necessario essere un Proprietario o un Amministratore accesso utente nel gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel. Se mancano le autorizzazioni, il gruppo di risorse è disattivato e non è possibile selezionarlo. In questi casi, è consigliabile contattare un amministratore per concedere le autorizzazioni pertinenti. Per altre informazioni, vedere Autorizzazioni aggiuntive necessarie per eseguire playbook sugli eventi imprevisti.

Visualizzare la cronologia di esecuzione per i playbook in un evento imprevisto selezionando la scheda Esecuzioni nel pannello Esegui playbook sull'evento imprevisto. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.

Eseguire manualmente un playbook su un'entità

Questa procedura non è supportata nella piattaforma unificata per le operazioni di sicurezza.

Selezionare un'entità in uno dei modi seguenti, a seconda del contesto di origine:

Pagina dettagli dell'evento imprevisto (novità)

Se ci si trova nella pagina dei dettagli di un evento imprevisto (nuova versione):

Nel widget Entità nella scheda Panoramica individuare l'entità ed eseguire una delle operazioni seguenti:

• Non selezionare l'entità. Selezionare invece i tre puntini a destra dell'entità e quindi selezionare Esegui playbook. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

• Selezionare l'entità per aprire la scheda Entità della pagina dei dettagli dell'evento imprevisto. Individuare l'entità nell'elenco e selezionare i tre puntini a destra. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

• Selezionare un'entità ed eseguire il drill-down nella pagina dei dettagli dell'entità. Selezionare quindi il pulsante Esegui playbook nel pannello a sinistra. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

Pagina dettagli dell'evento imprevisto (legacy)

Se ci si trova nella pagina dei dettagli di un evento imprevisto (versione legacy):

1. Selezionare la scheda Entità dell'evento imprevisto e individuare l'entità nell'elenco.

2. Esegui una delle operazioni seguenti:

   • Selezionare il collegamento Esegui playbook alla fine della riga dell'entità nell'elenco.
   • Selezionare l'entità per eseguire il drill-down nella pagina dei dettagli dell'entità e selezionare il pulsante Esegui playbook nel pannello a sinistra.

3. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

Grafico di indagine

Se ci si trova nel grafo indagine:

1. Selezionare un'entità nel grafo e quindi selezionare il pulsante Esegui playbook nel pannello laterale dell'entità.

   Per alcuni tipi di entità, potrebbe essere necessario selezionare il pulsante Azioni entità e dal menu risultante selezionare Esegui playbook.

2. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

Ricerca proattiva

Se si esegue la ricerca proattiva di minacce:

1. Nella schermata Comportamento entità selezionare un'entità dagli elenchi nella pagina oppure cercare e selezionare un'altra entità.
2. Nella pagina dell'entità selezionare il pulsante Esegui playbook nel pannello a sinistra.
3. Individuare il playbook da eseguire e selezionare Esegui nella riga del playbook.

Indipendentemente dal contesto ottenuto, l'ultimo passaggio di questa procedura proviene dal pannello Esegui playbook su <tipo entità>. Questo pannello mostra l'elenco di tutti i playbook a cui si ha accesso che sono stati configurati con il trigger Entità di Microsoft Sentinel di App per la logica per il tipo di entità selezionato.

Nel pannello *Esegui playbook su <tipo di entità> selezionare la scheda Esecuzioni per visualizzare la cronologia di esecuzione del playbook per una determinata entità. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, viene aperto il log di esecuzione completo in App per la logica.

Contenuto correlato

Per altre informazioni, vedi:

• Creare e gestire playbook di Microsoft Sentinel
• Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione