Creare attività impreviste in Microsoft Sentinel usando regole di automazione

Questo articolo illustra come usare le regole di automazione per creare elenchi di attività impreviste, per standardizzare i processi del flusso di lavoro degli analisti in Microsoft Sentinel.

Le attività impreviste possono essere create automaticamente non solo dalle regole di automazione, ma anche dai playbook e anche manualmente, ad hoc, dall'interno di un evento imprevisto.

Casi d'uso per ruoli diversi

Questo articolo illustra gli scenari seguenti che si applicano ai responsabili soc, agli analisti senior e ai tecnici di automazione:

• Visualizzare le regole di automazione con le azioni delle attività degli eventi imprevisti
• Aggiungere attività agli eventi imprevisti con regole di automazione

Un altro scenario di questo tipo è illustrato nell'articolo complementare seguente:

• Aggiungere attività agli eventi imprevisti con playbook

Un altro articolo, ai collegamenti seguenti, illustra gli scenari che si applicano di più agli analisti SOC:

• Visualizzare e seguire le attività degli eventi imprevisti
• Aggiungere manualmente un'attività ad hoc a un evento imprevisto

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Il ruolo risponditore Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare attività.

Visualizzare le regole di automazione con le azioni delle attività degli eventi imprevisti

Nella pagina Automazione è possibile filtrare la visualizzazione delle regole di automazione per visualizzare solo quelle in cui sono definite azioni aggiungi attività .

1. Selezionare il filtro Azioni .

2. Deselezionare la casella di controllo Seleziona tutto .

3. Scorrere verso il basso e contrassegnare la casella di controllo Aggiungi attività .

4. Selezionare OK e visualizzare i risultati.

   

   Queste sono le regole di automazione che aggiungono attività agli eventi imprevisti. La colonna Nomi delle regole di analisi indica su quali regole di analisi queste regole di automazione sono condizionate, quindi si avrà un'idea generale degli eventi imprevisti interessati.

   Nota

   Per sapere con esattezza se una regola di automazione verrà applicata a un determinato evento imprevisto, è necessario aprire la regola per verificare se sono definite condizioni aggiuntive, oltre alla condizione della regola di analisi. Se vengono definite altre condizioni, l'ambito degli eventi imprevisti interessati verrà di conseguenza limitato.

Aggiungere attività agli eventi imprevisti con regole di automazione

1. Nella pagina Automazione selezionare + Crea e selezionare Regola di automazione.

2. Il pannello Crea nuova regola di automazione verrà aperto sul lato destro.
   Assegnare alla regola di automazione un nome che descriva le operazioni eseguite.

3. Selezionare Quando l'evento imprevisto viene creato come trigger (è anche possibile usare Quando l'evento imprevisto viene aggiornato).

4. Aggiungere condizioni per determinare a quali eventi imprevisti verranno aggiunte nuove attività.

   Ad esempio, filtrare in base al nome della regola di Analisi:

   • È possibile aggiungere attività agli eventi imprevisti in base ai tipi di minacce rilevate da una regola di analisi o da un gruppo di regole di analisi che devono essere gestite in base a un determinato flusso di lavoro. Cercare e selezionare le regole di analisi pertinenti nell'elenco a discesa.

   • In alternativa, è possibile aggiungere attività rilevanti per gli eventi imprevisti in tutti i tipi di minacce (in questo caso, lasciare la selezione predefinita Tutti così com'è).

   In entrambi i casi, è possibile aggiungere altre condizioni per limitare l'ambito degli eventi imprevisti a cui si applicherà la regola di automazione. Altre informazioni sull'aggiunta di condizioni avanzate alle regole di automazione.

   Una cosa da considerare è che l'ordine in cui le attività vengono visualizzate nell'evento imprevisto è determinato dall'ora di creazione delle attività. È possibile impostare l'ordine delle regole di automazione in modo che le regole che aggiungono le attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo dopo tutte le regole che aggiungono le attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche.

   

5. In Azioni selezionare Aggiungi attività.

   

6. Per ogni attività immettere un titolo nel campo Titolo attività e quindi (facoltativamente) selezionare + Aggiungi descrizione per aprire un campo descrizione.
   Solo i titoli delle attività vengono visualizzati per impostazione predefinita nel pannello dell'elenco attività dell'evento imprevisto. La descrizione di un'attività viene visualizzata solo quando l'elemento dell'attività viene espanso.

   

7. Nel campo descrizione è possibile aggiungere una descrizione in formato libero per l'attività, tra cui immagini, collegamenti e formattazione rtf(vedere i collegamenti ipertestuali, gli elenchi numerato e il testo in formato blocco di codice negli esempi seguenti).

   

8. Aggiungere altre attività allo stesso gruppo di eventi imprevisti selezionando + Aggiungi azione e ripetendo gli ultimi tre passaggi.

   Le attività verranno create e aggiunte all'evento imprevisto in base all'ordine delle azioni aggiungi attività nella regola di automazione.

   

9. Completare la creazione della regola di automazione completando i passaggi rimanenti, Scadenza regola e Ordine e selezionando Applica alla fine. Per informazioni dettagliate dettagliate, vedere Creare e usare regole di automazione Microsoft Sentinel per gestire la risposta.

   Per quanto riguarda l'impostazione Ordine : l'ordine in cui le attività vengono visualizzate negli eventi imprevisti dipende da due elementi:

   1. Ordine di esecuzione delle regole di automazione, come determinato dal numero nell'impostazione Ordine e...
   2. Ordine delle azioni aggiungi attività definite all'interno di ogni regola di automazione.

Passaggi successivi

• Altre informazioni sulle attività degli eventi imprevisti.
• Informazioni su come analizzare gli eventi imprevisti.
• Informazioni su come aggiungere attività a gruppi di eventi imprevisti automaticamente usando playbook.
• Informazioni su come usare le attività per gestire il flusso di lavoro degli eventi imprevisti in Microsoft Sentinel.
• Altre informazioni sulle regole di automazione e su come crearle.