Usare trigger e azioni nei playbook di Microsoft Sentinel
Questo documento illustra i tipi di trigger e azioni nel connettore di Microsoft Sentinel di App per la logica, che i playbook possono usare per interagire con Microsoft Sentinel e le informazioni nelle tabelle dell'area di lavoro. Illustra inoltre come accedere a tipi specifici di informazioni di Microsoft Sentinel che è probabile che sia necessario.
Questo documento, insieme alla guida all'autenticazione dei playbook in Microsoft Sentinel, è un complementare all'altra documentazione del playbook - Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel. Questi tre documenti si riferiscono l'uno all'altro avanti e indietro.
Per un'introduzione ai playbook, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.
Per la specifica completa del connettore di Microsoft Sentinel, vedere la documentazione del connettore di App per la logica.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Autorizzazioni obbligatorie
| Ruoli \ componenti Connessione or | Trigger | Azioni "Get" | Aggiornare un evento imprevisto, aggiungere un commento |
|---|---|---|---|
| Lettore di Microsoft Sentinel | ✓ | ✓ | ✗ |
| Collaboratore del risponditore/di Microsoft Sentinel | ✓ | ✓ | ✓ |
Altre informazioni sulle autorizzazioni in Microsoft Sentinel.
Riepilogo dei trigger di Microsoft Sentinel
Anche se il connettore di Microsoft Sentinel può essere usato in diversi modi, i componenti del connettore possono essere suddivisi in tre flussi, ognuno attivato da un'occorrenza diversa di Microsoft Sentinel:
| Trigger (nome completo in Progettazione app per la logica) | Quando usarlo | Limitazioni note |
|---|---|---|
| Evento imprevisto di Microsoft Sentinel (anteprima) | Consigliato per la maggior parte degli scenari di automazione degli eventi imprevisti. Il playbook riceve oggetti eventi imprevisti, tra cui entità e avvisi. L'uso di questo trigger consente di collegare il playbook a una regola di automazione, in modo che possa essere attivato quando viene creato un evento imprevisto (e ora aggiornato anche) in Microsoft Sentinel e tutti i vantaggi delle regole di automazione possono essere applicati all'evento imprevisto. |
I playbook con questo trigger non supportano il raggruppamento di avvisi, ovvero riceveranno solo il primo avviso inviato con ogni evento imprevisto. UPDATE: a partire da febbraio 2023, il raggruppamento di avvisi è supportato per questo trigger. |
| Avviso di Microsoft Sentinel (anteprima) | Consigliabile per i playbook che devono essere eseguiti manualmente sugli avvisi dal portale di Microsoft Sentinel o per le regole di analisi pianificate che non generano eventi imprevisti per gli avvisi. | Questo trigger non può essere usato per automatizzare le risposte per gli avvisi generati dalle regole di analisi della sicurezza Microsoft. I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione. |
| Entità di Microsoft Sentinel (anteprima) | Da usare per i playbook che devono essere eseguiti manualmente su entità specifiche da un contesto di indagine o ricerca di minacce. | I playbook che usano questo trigger non possono essere chiamati dalle regole di automazione. |
Gli schemi usati da questi flussi non sono identici. La procedura consigliata consiste nell'usare il flusso di trigger degli eventi imprevisti di Microsoft Sentinel, applicabile alla maggior parte degli scenari.
Campi dinamici degli eventi imprevisti
L'oggetto Evento imprevisto ricevuto dall'evento imprevisto di Microsoft Sentinel include i campi dinamici seguenti:
Proprietà evento imprevisto (visualizzato come "Evento imprevisto: nome campo")
Avvisi (matrice)
Proprietà avviso (visualizzato come "Avviso: nome campo")
Quando si seleziona una proprietà di avviso, ad esempio Alert: <property name>, viene generato automaticamente un per ogni ciclo, poiché un evento imprevisto può includere più avvisi.
Entità (matrice di tutte le entità di un avviso)
Campi informazioni sull'area di lavoro (si applica all'area di lavoro sentinel in cui è stato creato l'evento imprevisto)
- ID sottoscrizione
- Nome dell'area di lavoro
- ID area di lavoro
- Nome gruppo di risorse
Riepilogo delle azioni di Microsoft Sentinel
| Componente | Quando usarlo |
|---|---|
| Avviso - Ottenere un evento imprevisto | Nei playbook che iniziano con il trigger di avviso. Utile per ottenere le proprietà dell'evento imprevisto o recuperare l'ID ARM dell'evento imprevisto da usare con l'evento imprevisto Aggiorna oAggiungi commento alle azioni degli eventi imprevisti. |
| Ottenere un evento imprevisto | Quando si attiva un playbook da un'origine esterna o con un trigger non Sentinel. Identificare con un ID ARM di evento imprevisto. Recupera le proprietà e i commenti degli eventi imprevisti. |
| Aggiorna evento imprevisto | Per modificare lo stato di un evento imprevisto, ad esempio quando si chiude l'evento imprevisto, assegnare un proprietario, aggiungere o rimuovere un tag oppure modificare la gravità, il titolo o la descrizione. |
| Aggiungere commenti agli eventi imprevisti | Per arricchire l'evento imprevisto con informazioni raccolte da fonti esterne; per controllare le azioni eseguite dal playbook sulle entità; per fornire informazioni aggiuntive utili per l'indagine sugli eventi imprevisti. |
| Entità - Ottenere <il tipo di entità> | Nei playbook che funzionano su un tipo di entità specifico (IP, Account, Host, URL o FileHash) noto in fase di creazione del playbook ed è necessario essere in grado di analizzarlo e lavorare sui relativi campi univoci. |
Usare gli eventi imprevisti - Esempi di utilizzo
Suggerimento
Le azioni Aggiorna evento imprevisto e Aggiungi un commento all'evento imprevisto richiedono l'ID ARM dell'evento imprevisto.
Usare l'azione Avviso - Ottieni evento imprevisto in anticipo per ottenere l'ID ARM dell'eventoimprevisto.
Aggiornare un evento imprevisto
Il playbook viene attivato da un evento imprevisto di Microsoft Sentinel
Il playbook viene attivato dall'avviso di Microsoft Sentinel
Usare le informazioni sugli eventi imprevisti
Playbook di base per inviare i dettagli degli eventi imprevisti tramite posta elettronica:
Il playbook viene attivato da un evento imprevisto di Microsoft Sentinel
Il playbook viene attivato dall'avviso di Microsoft Sentinel
Aggiungere un commento all'evento imprevisto
Il playbook viene attivato da un evento imprevisto di Microsoft Sentinel
Il playbook viene attivato dall'avviso di Microsoft Sentinel
Disabilitare un utente.
Il playbook viene attivato dall'entità di Microsoft Sentinel
Playbook di entità senza ID evento imprevisto
I playbook creati con il trigger di entità spesso usano il campo ID ARM evento imprevisto, ad esempio per aggiornare un evento imprevisto dopo aver eseguito un'azione sull'entità.
Se un playbook di questo tipo viene attivato in un contesto non connesso a un evento imprevisto (ad esempio, durante la ricerca di minacce), non esiste alcun evento imprevisto il cui ID può popolare questo campo. In questo caso, il campo verrà popolato con un valore Null.
Di conseguenza, il playbook potrebbe non riuscire a essere completato. Per evitare questo errore, è consigliabile creare una condizione che verificherà la presenza di un valore nel campo ID evento imprevisto prima di eseguire alcuna azione e prescrivere un set diverso di azioni se il campo ha un valore Null, ovvero se il playbook non viene eseguito da un evento imprevisto.
Prima della prima azione che fa riferimento al campo ID ARM evento imprevisto, aggiungere un passaggio di tipo Condizione.
Selezionare il campo Scegli un valore e immettere la finestra di dialogo Aggiungi contenuto dinamico.
Selezionare la scheda Espressione e la funzione length(collection).
Selezionare la scheda Contenuto dinamico e il campo ID ARM evento imprevisto.
Verificare che l'espressione risultante sia
length(triggerBody()?['IncidentArmID'])e selezionare OK.
Impostare l'operatore e il valore nella condizione su "è maggiore di" e "0".
Nel frame True aggiungere le azioni da eseguire se il playbook viene eseguito da un contesto di evento imprevisto.
Nel frame False aggiungere le azioni da eseguire se il playbook viene eseguito da un contesto non imprevisto.
Usare tipi di entità specifici
Il campo dinamico Entities è una matrice di oggetti JSON, ognuno dei quali rappresenta un'entità. Ogni tipo di entità ha uno schema specifico, a seconda delle relative proprietà univoce.
L'azione "Entities - Get <entity type>" consente di eseguire le operazioni seguenti:
- Filtrare la matrice di entità in base al tipo richiesto.
- Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni.
L'input è il campo dinamico Entities .
La risposta è una matrice di entità, in cui le proprietà speciali vengono analizzate e possono essere usate direttamente in un ciclo For each .
I tipi di entità attualmente supportati sono:
Per altri tipi di entità, è possibile ottenere funzionalità simili usando le azioni predefinite di App per la logica:
Filtrare la matrice di entità in base al tipo richiesto usando La matrice di filtri.
Analizzare i campi specifici di questo tipo, in modo che possano essere usati come campi dinamici in altre azioni usando Analizza JSON.
Usare i dettagli personalizzati
Il campo dinamico Dettagli personalizzati avviso, disponibile nel trigger dell'evento imprevisto, è una matrice di oggetti JSON, ognuno dei quali rappresenta un dettaglio personalizzato di un avviso. I dettagli personalizzati, che verranno richiamati, sono coppie chiave-valore che consentono di visualizzare informazioni dagli eventi nell'avviso in modo che possano essere rappresentati, monitorati e analizzati come parte dell'evento imprevisto.
Poiché questo campo nell'avviso è personalizzabile, il relativo schema dipende dal tipo di evento visualizzato. Sarà necessario fornire dati da un'istanza di questo evento per generare lo schema che determinerà come verrà analizzato il campo dei dettagli personalizzati.
Vedere l'esempio seguente:
In queste coppie chiave-valore la chiave (la colonna a sinistra) rappresenta i campi personalizzati creati e il valore (la colonna di destra) rappresenta i campi dei dati dell'evento che popolano i campi personalizzati.
È possibile specificare il codice JSON seguente per generare lo schema. Il codice mostra i nomi delle chiavi come matrici e i valori (visualizzati come valori effettivi, non la colonna che contiene i valori) come elementi nelle matrici.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Aggiungere un nuovo passaggio usando l'azione predefinita Analizza JSON . È possibile immettere "parse json" nel campo Cerca per trovarlo.
Trovare e selezionare Dettagli personalizzati avvisi nell'elenco Contenuto dinamico, sotto il trigger dell'evento imprevisto.
Verrà creato un ciclo For each , poiché un evento imprevisto contiene una matrice di avvisi.
Selezionare il collegamento Usa payload di esempio per generare lo schema .
Fornire un payload di esempio. Per trovare un payload di esempio, vedere Log Analytics per un'altra istanza di questo avviso e copiare l'oggetto dettagli personalizzato (in Proprietà estese). Accedere ai dati di Log Analytics nella pagina Log del portale di Azure o nella pagina Ricerca avanzata nel portale di Defender. Nello screenshot seguente è stato usato il codice JSON illustrato in precedenza.
I campi personalizzati sono pronti per essere usati campi dinamici di tipo Array. È possibile vedere qui la matrice e i relativi elementi, sia nello schema che nell'elenco visualizzato in Contenuto dinamico, descritto in precedenza.
Passaggi successivi
In questo articolo sono state fornite altre informazioni sull'uso dei trigger e delle azioni nei playbook di Microsoft Sentinel per rispondere alle minacce.
- Informazioni su come cercare in modo proattivo le minacce usando Microsoft Sentinel.