Creare manualmente eventi imprevisti in Microsoft Sentinel nel portale di Azure

Importante

La creazione manuale di eventi imprevisti, tramite il portale o app per la logica, è attualmente disponibile in ANTEPRIMA. Per altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate in disponibilità generale, vedere le Condizioni aggiuntive per l'utilizzo per Microsoft Azure Previews.

La creazione manuale degli eventi imprevisti è disponibile a livello generale usando l'API.

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Con Microsoft Sentinel come soluzione SIEM (Security Information and Event Management), le attività di rilevamento delle minacce e risposta delle operazioni di sicurezza sono incentrate sugli eventi imprevisti che si analizzano e correggeno. Questi eventi imprevisti hanno due origini principali:

• Vengono generati automaticamente quando i meccanismi di rilevamento operano sui log e sugli avvisi che Microsoft Sentinel inseriscono dalle origini dati connesse.

• Vengono inseriti direttamente da altri servizi di sicurezza Microsoft connessi (ad esempio Microsoft Defender XDR) che li hanno creati.

Tuttavia, i dati sulle minacce possono provenire anche da altre origini non inserite in Microsoft Sentinel o da eventi non registrati in alcun log e possono tuttavia giustificare l'apertura di un'indagine. Ad esempio, un dipendente potrebbe notare una persona non riconosciuta impegnata in attività sospette correlate agli asset informativi dell'organizzazione. Questo dipendente potrebbe chiamare o inviare un messaggio di posta elettronica al Centro operativo di sicurezza (SOC) per segnalare l'attività.

Microsoft Sentinel nel portale di Azure consente agli analisti della sicurezza di creare manualmente eventi imprevisti per qualsiasi tipo di evento, indipendentemente dall'origine o dai dati, in modo da non perdere l'analisi di questi tipi insoliti di minacce.

Casi d'uso comuni

Creare un evento imprevisto per un evento segnalato

Questo è lo scenario descritto nell'introduzione precedente.

Creare eventi imprevisti da eventi da sistemi esterni

Creare eventi imprevisti in base a eventi provenienti da sistemi i cui log non vengono inseriti in Microsoft Sentinel. Ad esempio, una campagna di phishing basata su SMS potrebbe usare il marchio aziendale e i temi dell'organizzazione per indirizzare i dispositivi mobili personali dei dipendenti. È possibile analizzare un attacco di questo tipo ed è possibile creare un evento imprevisto in Microsoft Sentinel in modo da avere una piattaforma per gestire l'indagine, raccogliere e registrare le prove e registrare le azioni di risposta e mitigazione.

Creare eventi imprevisti in base ai risultati della ricerca

Creare eventi imprevisti in base ai risultati osservati delle attività di ricerca. Ad esempio, durante la ricerca delle minacce nel contesto di un'indagine specifica (o per conto proprio), è possibile riscontrare prove di una minaccia completamente non correlata che giustifica una propria indagine separata.

Creare manualmente un evento imprevisto

Esistono tre modi per creare manualmente un evento imprevisto:

• Creare un evento imprevisto usando il portale di Azure
• Creare un evento imprevisto usando Azure App per la logica, usando il trigger evento imprevisto Microsoft Sentinel.
• Creare un evento imprevisto usando l'API Microsoft Sentinel tramite il gruppo di operazioni Eventi imprevisti. Consente di ottenere, creare, aggiornare ed eliminare gli eventi imprevisti.

Dopo l'onboarding Microsoft Sentinel nel portale di Microsoft Defender, gli eventi imprevisti creati manualmente non vengono sincronizzati con il portale di Defender, anche se possono comunque essere visualizzati e gestiti in Microsoft Sentinel nel portale di Azure e tramite App per la logica e l'API.

Autorizzazioni

Per creare manualmente un evento imprevisto, sono necessari i ruoli e le autorizzazioni seguenti.

Metodo	Ruolo obbligatorio
portale di Azure e API	Uno dei seguenti: risponditore Microsoft Sentinel Collaboratore Microsoft Sentinel
app per la logica Azure	Uno dei precedenti, più: Microsoft Sentinel Playbook Operator per usare un playbook esistente Collaboratore all'app per la logica per creare un nuovo playbook

Altre informazioni sui ruoli in Microsoft Sentinel.

Creare un evento imprevisto usando il portale di Azure

1. Selezionare Microsoft Sentinel e scegliere l'area di lavoro.

2. Dal menu di spostamento Microsoft Sentinel selezionare Eventi imprevisti.

3. Nella pagina Eventi imprevisti selezionare + Crea evento imprevisto (anteprima) dalla barra dei pulsanti.

   

   Il pannello Crea evento imprevisto (anteprima) verrà aperto sul lato destro dello schermo.

   

4. Compilare i campi nel pannello di conseguenza.

   • Titolo

     • Immettere un titolo a scelta per l'evento imprevisto. L'evento imprevisto verrà visualizzato nella coda con questo titolo.
     • Obbligatorio. Testo libero di lunghezza illimitata. Gli spazi verranno tagliati.

   • Descrizione

     • Immettere informazioni descrittive sull'evento imprevisto, inclusi dettagli quali l'origine dell'evento imprevisto, le entità coinvolte, la relazione con altri eventi, chi è stato informato e così via.
     • Facoltativo. Testo libero fino a 5000 caratteri.

   • Gravità

     • Scegliere una gravità dall'elenco a discesa. Sono disponibili tutte le severità supportate Microsoft Sentinel.
     • Obbligatorio. Il valore predefinito è "Medio".

   • Stato

     • Scegliere uno stato dall'elenco a discesa. Sono disponibili tutti gli stati supportati Microsoft Sentinel.
     • Obbligatorio. Il valore predefinito è "Nuovo".
     • È possibile creare un evento imprevisto con stato "chiuso", quindi aprirlo manualmente in seguito per apportare modifiche e scegliere uno stato diverso. Se si sceglie "chiuso" dall'elenco a discesa, verranno attivati i campi del motivo della classificazione per scegliere un motivo per la chiusura dell'evento imprevisto e aggiungere commenti.

   • Proprietario

     • Scegliere tra gli utenti o i gruppi disponibili nel tenant. Iniziare a digitare un nome per cercare utenti e gruppi. Selezionare il campo (fare clic o toccare) per visualizzare un elenco di suggerimenti. Scegliere "Assegna a me" nella parte superiore dell'elenco per assegnare l'evento imprevisto a se stessi.
     • Facoltativo.

   • Tag

     • Usare i tag per classificare gli eventi imprevisti e per filtrarli e individuarli nella coda.
     • Creare tag selezionando l'icona con segno più, immettendo testo nella finestra di dialogo e selezionando OK. Il completamento automatico suggerirà tag usati nell'area di lavoro nelle due settimane precedenti.
     • Facoltativo. Testo libero.

5. Selezionare Crea nella parte inferiore del pannello. Dopo alcuni secondi, l'evento imprevisto verrà creato e verrà visualizzato nella coda degli eventi imprevisti.

   Se si assegna a un evento imprevisto lo stato "Chiuso", non verrà visualizzato nella coda fino a quando non si modifica il filtro di stato per visualizzare anche gli eventi imprevisti chiusi. Il filtro è impostato per impostazione predefinita per visualizzare solo gli eventi imprevisti con stato "Nuovo" o "Attivo".

Selezionare l'evento imprevisto nella coda per visualizzare i dettagli completi, aggiungere segnalibri, modificarne il proprietario e lo stato e altro ancora.

Se per qualche motivo si cambia idea dopo aver creato l'evento imprevisto, è possibile eliminarlo dalla griglia della coda o dall'interno dell'evento imprevisto stesso. Per eliminare un evento imprevisto, è necessario disporre del ruolo collaboratore Microsoft Sentinel.

Creare un evento imprevisto usando app per la logica Azure

La creazione di un evento imprevisto è disponibile anche come azione app per la logica nel connettore Microsoft Sentinel e quindi nei playbook Microsoft Sentinel.

È possibile trovare l'azione Crea evento imprevisto (anteprima) nello schema del playbook per il trigger dell'evento imprevisto.

È necessario specificare i parametri come descritto di seguito:

• Selezionare la sottoscrizione, il gruppo di risorse e il nome dell'area di lavoro dai rispettivi elenchi a discesa.

• Per i campi rimanenti, vedere le spiegazioni precedenti in Creare un evento imprevisto usando il portale di Azure.

  

Microsoft Sentinel fornisce alcuni modelli di playbook di esempio che illustrano come usare questa funzionalità:

• Creare un evento imprevisto con Microsoft Form
• Creare un evento imprevisto dalla posta in arrivo di posta elettronica condivisa

È possibile trovarli nella raccolta di modelli di playbook nella pagina Microsoft Sentinel Automazione.

Creare un evento imprevisto usando l'API Microsoft Sentinel

Il gruppo di operazioni Eventi imprevisti consente non solo di creare, ma anche di aggiornare (modificare), ottenere (recuperare), elencare ed eliminare gli eventi imprevisti.

Creare un evento imprevisto usando l'endpoint seguente. Dopo aver effettuato questa richiesta, l'evento imprevisto sarà visibile nella coda degli eventi imprevisti nel portale.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Di seguito è riportato un esempio dell'aspetto di un corpo della richiesta:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Note

• Gli eventi imprevisti creati manualmente non contengono entità o avvisi. Pertanto, la scheda Avvisi nella pagina degli eventi imprevisti rimarrà vuota fino a quando non si correlano gli avvisi esistenti all'evento imprevisto.

  Anche la scheda Entità rimarrà vuota, poiché l'aggiunta di entità direttamente agli eventi imprevisti creati manualmente non è attualmente supportata. Se si correla un avviso a questo evento imprevisto, le entità dell'avviso verranno visualizzate nell'evento imprevisto.

• Anche gli eventi imprevisti creati manualmente non visualizzeranno alcun nome di prodotto nella coda.

• La coda degli eventi imprevisti viene filtrata per impostazione predefinita in modo da visualizzare solo gli eventi imprevisti con stato "Nuovo" o "Attivo". Se si crea un evento imprevisto con stato "Chiuso", non verrà visualizzato nella coda finché non si modifica il filtro di stato per visualizzare anche gli eventi imprevisti chiusi.

Passaggi successivi

Per ulteriori informazioni, vedere:

• Correlare gli avvisi agli eventi imprevisti in Microsoft Sentinel
• Eliminare gli eventi imprevisti in Microsoft Sentinel
• Esplorare, valutare e gestire gli eventi imprevisti Microsoft Sentinel
• Analizzare in modo approfondito gli eventi imprevisti Microsoft Sentinel