Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel

  • Articolo
  • 19 minuti per la lettura

Questa esercitazione illustra come usare i playbook insieme alle regole di automazione per automatizzare la risposta agli eventi imprevisti e correggere le minacce alla sicurezza rilevate da Microsoft Sentinel. Al termine di questa esercitazione, sarà possibile:

  • Creare una regola di automazione
  • Creare un playbook
  • Aggiungere azioni a un playbook
  • Collegare un playbook a una regola di automazione o a una regola di analisi per automatizzare la risposta alle minacce

Nota

Questa esercitazione fornisce indicazioni di base per un'attività principale del cliente: creazione dell'automazione per valutare gli eventi imprevisti. Per altre informazioni, vedere la sezione Procedure , ad esempio Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel e Usare trigger e azioni nei playbook di Microsoft Sentinel.

Che cosa sono le regole di automazione e i playbook?

Le regole di automazione consentono di valutare gli eventi imprevisti in Microsoft Sentinel. È possibile usarli per assegnare automaticamente gli eventi imprevisti al personale corretto, chiudere eventi imprevisti rumorosi o falsi positivi noti, modificarne la gravità e aggiungere tag. Sono anche il meccanismo tramite il quale è possibile eseguire playbook in risposta agli eventi imprevisti.

I playbook sono raccolte di procedure che possono essere eseguite da Microsoft Sentinel in risposta a un avviso o a un evento imprevisto. Un playbook può essere utile per automatizzare e orchestrare la risposta e può essere impostato per l'esecuzione automatica quando vengono generati avvisi o eventi imprevisti specifici, associandosi rispettivamente a una regola di analisi o a una regola di automazione. Può anche essere eseguito manualmente su richiesta.

I playbook in Microsoft Sentinel si basano su flussi di lavoro basati su App per la logica di Azure, il che significa che si ottengono tutte le potenzialità, la personalizzazione e i modelli predefiniti di App per la logica. Ogni playbook viene creato per la sottoscrizione specifica a cui appartiene, ma nella visualizzazione playbook vengono visualizzati tutti i playbook disponibili in tutte le sottoscrizioni selezionate.

Nota

Poiché i playbook usano App per la logica di Azure, possono essere applicati costi aggiuntivi. Per altri dettagli, visitare la pagina dei prezzi di App per la logica di Azure .

Ad esempio, se si vuole impedire agli utenti potenzialmente compromessi di spostarsi in rete e rubare informazioni, è possibile creare una risposta automatizzata e multifaceta agli eventi imprevisti generati da regole che rilevano utenti compromessi. Per iniziare, creare un playbook che esegue le azioni seguenti:

  1. Quando il playbook viene chiamato da una regola di automazione che passa un evento imprevisto, il playbook apre un ticket in ServiceNow o in qualsiasi altro sistema di ticket IT.

  2. Invia un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che gli analisti della sicurezza siano a conoscenza dell'evento imprevisto.

  3. Invia anche tutte le informazioni nell'evento imprevisto in un messaggio di posta elettronica all'amministratore di rete senior e all'amministratore della sicurezza. Il messaggio di posta elettronica includerà i pulsanti di opzione Blocca e Ignora utente.

  4. Il playbook attende fino a quando non viene ricevuta una risposta dagli amministratori, quindi continua con i passaggi successivi.

  5. Se gli amministratori scelgono Blocca, invia un comando ad Azure AD per disabilitare l'utente e uno al firewall per bloccare l'indirizzo IP.

  6. Se gli amministratori scelgono Ignora, il playbook chiude l'evento imprevisto in Microsoft Sentinel e il ticket in ServiceNow.

Per attivare il playbook, si creerà quindi una regola di automazione che viene eseguita quando vengono generati questi eventi imprevisti. Questa regola eseguirà questi passaggi:

  1. La regola modifica lo stato dell'evento imprevisto in Attivo.

  2. Assegna l'evento imprevisto all'analista associato alla gestione di questo tipo di evento imprevisto.

  3. Aggiunge il tag "utente compromesso".

  4. Infine, chiama il playbook appena creato. Per questo passaggio sono necessarie autorizzazioni speciali.

I playbook possono essere eseguiti automaticamente in risposta agli eventi imprevisti, creando regole di automazione che chiamano i playbook come azioni, come nell'esempio precedente. Possono anche essere eseguiti automaticamente in risposta agli avvisi, indicando alla regola di analisi di eseguire automaticamente uno o più playbook quando viene generato l'avviso.

È anche possibile scegliere di eseguire un playbook manualmente su richiesta, come risposta a un avviso selezionato.

Ottenere un'introduzione più completa e dettagliata per automatizzare la risposta alle minacce usando regole di automazione e playbook in Microsoft Sentinel.

Creare un playbook

Seguire questa procedura per creare un nuovo playbook in Microsoft Sentinel:

Screenshot della selezione del menu per l'aggiunta di un nuovo playbook nella schermata automazione.

  1. Nel menu di spostamento di Microsoft Sentinel selezionare Automazione.

  2. Nel menu in alto selezionare Crea.

  3. Il menu a discesa visualizzato in Crea offre quattro opzioni per la creazione di playbook:

    1. Se si sta creando un playbook Standard (il nuovo tipo, vedere Tipi di app per la logica), selezionare Playbook vuoto e quindi seguire i passaggi nella scheda App per la logica Standard di seguito.

    2. Se si sta creando un playbook a consumo (tipo originale, classico), a seconda del trigger da usare, selezionare Playbook con trigger di eventi imprevisti, Playbook con trigger di avviso o Playbook con trigger di entità. Continuare quindi seguendo la procedura descritta nella scheda Consumo di App per la logica di seguito.

      Per altre informazioni sul trigger da usare, vedere Usare trigger e azioni nei playbook di Microsoft Sentinel.

Preparare il playbook e l'app per la logica

Indipendentemente dal trigger scelto per creare il playbook con nel passaggio precedente, verrà visualizzata la procedura guidata Crea playbook .

Creare un'app per la logica

  1. Nella scheda Informazioni di base:

    1. Selezionare la sottoscrizione, il gruppo di risorsee l'area a scelta tra i rispettivi elenchi a discesa. L'area scelta è la posizione in cui verranno archiviate le informazioni sull'app per la logica.

    2. Immettere un nome per il playbook in Nome playbook.

    3. Se si vuole monitorare l'attività del playbook a scopo di diagnostica, selezionare la casella di controllo Abilita log di diagnostica in Log Analytics e scegliere l'area di lavoro Log Analytics dall'elenco a discesa.

    4. Se i playbook devono accedere a risorse protette all'interno o connesse a una rete virtuale di Azure, potrebbe essere necessario usare un ambiente del servizio di integrazione (ISE). In tal caso, contrassegnare la casella di controllo Associa all'ambiente del servizio di integrazione e selezionare l'ISE desiderato nell'elenco a discesa.

    5. Selezionare Avanti: Connessioni >.

  2. Nella scheda Connessioni :

    Idealmente, è consigliabile lasciare invariata questa sezione, configurando App per la logica per connettersi a Microsoft Sentinel con identità gestita. Informazioni su questa e altre alternative di autenticazione.

    Selezionare Avanti: Rivedere e creare >.

  3. Nella scheda Rivedi e crea :

    Esaminare le scelte di configurazione effettuate e selezionare Crea e continuare con la finestra di progettazione.

  4. Il playbook richiederà alcuni minuti per la creazione e la distribuzione, dopo il quale verrà visualizzato il messaggio "La distribuzione è stata completata" e verrà visualizzata la finestra di progettazione dell'app per la logica del nuovo playbook. Il trigger scelto all'inizio verrà aggiunto automaticamente come primo passaggio ed è possibile continuare a progettare il flusso di lavoro da questa posizione.

    Screenshot della schermata della finestra di progettazione dell'app per la logica con il trigger di apertura.

    Se si è scelto il trigger dell'entità di Microsoft Sentinel (anteprima), selezionare il tipo di entità che si vuole che questo playbook riceva come input.

    Screenshot dell'elenco a discesa dei tipi di entità tra cui scegliere per impostare lo schema del playbook.

Aggiunta di azioni

È ora possibile definire cosa accade quando si chiama il playbook. È possibile aggiungere azioni, condizioni logiche, cicli o condizioni del caso di cambio, tutte selezionando Nuovo passaggio. Questa selezione apre un nuovo frame nella finestra di progettazione, in cui è possibile scegliere un sistema o un'applicazione con cui interagire o una condizione da impostare. Immettere il nome del sistema o dell'applicazione nella barra di ricerca nella parte superiore del frame e quindi scegliere tra i risultati disponibili.

In ognuno di questi passaggi, facendo clic su un campo viene visualizzato un pannello con due menu: Contenuto dinamico ed Espressione. Dal menu Contenuto dinamico è possibile aggiungere riferimenti agli attributi dell'avviso o dell'evento imprevisto passati al playbook, inclusi i valori e gli attributi di tutte le entità mappate e i dettagli personalizzati contenuti nell'avviso o nell'evento imprevisto. Dal menu Espressione è possibile scegliere una libreria di funzioni di grandi dimensioni per aggiungere logica aggiuntiva ai passaggi.

Questo screenshot mostra le azioni e le condizioni da aggiungere nella creazione del playbook descritto nell'esempio all'inizio di questo documento. Altre informazioni sull'aggiunta di azioni ai playbook.

Screenshot che mostra la finestra di progettazione dell'app per la logica con un flusso di lavoro del trigger di eventi imprevisti.

Per informazioni dettagliate sulle azioni che è possibile aggiungere ai playbook, vedere Usare trigger e azioni nei playbook di Microsoft Sentinel .

In particolare, si notino queste informazioni importanti sui playbook basati sul trigger dell'entità in un contesto non imprevisto.

Automatizzare le risposte alle minacce

Il playbook è stato creato e definito il trigger, sono state impostate le condizioni e sono state specificate le azioni che verranno eseguite e gli output che produrranno. A questo momento è necessario determinare i criteri in base ai quali verrà eseguito e configurare il meccanismo di automazione che verrà eseguito quando tali criteri vengono soddisfatti.

Rispondere agli eventi imprevisti

Si usa un playbook per rispondere a un evento imprevisto creando una regola di automazione che verrà eseguita quando viene generato l'evento imprevisto e a sua volta chiamerà il playbook.

Per creare una regola di automazione:

  1. Nel pannello Automazione del menu di spostamento di Microsoft Sentinel selezionare Crea dal menu in alto e quindi Aggiungi nuova regola.

    Screenshot che mostra come aggiungere una nuova regola di automazione.

  2. Verrà visualizzato il pannello Crea nuova regola di automazione . Immettere un nome per la regola.

    Screenshot che mostra la creazione guidata delle regole di automazione.

  3. Se si vuole che la regola di automazione venga applicata solo su determinate regole di analisi, specificare quelle modificando la condizione del nome della regola if analytics .

  4. Aggiungere eventuali altre condizioni da cui si vuole dipendere l'attivazione di questa regola di automazione. Fare clic su Aggiungi condizione e scegliere le condizioni dall'elenco a discesa. L'elenco delle condizioni viene popolato dai campi dettagli avviso e identificatore di entità.

  5. Scegliere le azioni che si desidera eseguire da questa regola di automazione. Le azioni disponibili includono Assegna proprietario, Cambia stato, Modifica gravità, Aggiungi tag ed Esegui playbook. È possibile aggiungere tutte le azioni desiderate.

  6. Se si aggiunge un'azione Esegui playbook , verrà richiesto di scegliere dall'elenco a discesa dei playbook disponibili. Solo i playbook che iniziano con il trigger di evento imprevisto possono essere eseguiti dalle regole di automazione, quindi verranno visualizzati solo nell'elenco.

    Importante

    A Microsoft Sentinel devono essere concesse autorizzazioni esplicite per eseguire playbook in base al trigger dell'evento imprevisto, sia manualmente che da regole di automazione. Se un playbook viene visualizzato in grigio nell'elenco a discesa, significa che Sentinel non dispone dell'autorizzazione per il gruppo di risorse del playbook. Fare clic sul collegamento Manage playbook permissions (Gestisci autorizzazioni playbook) per assegnare le autorizzazioni.

    Nel pannello Gestisci autorizzazioni visualizzato contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e fare clic su Applica.

    Gestione autorizzazioni

    • È necessario disporre delle autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si vogliono concedere le autorizzazioni di Microsoft Sentinel ed è necessario avere il ruolo Collaboratore app per la logica in qualsiasi gruppo di risorse contenente i playbook da eseguire.

    • In una distribuzione multi-tenant, se il playbook da eseguire si trova in un tenant diverso, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook nel tenant del playbook.

      1. Nel menu di spostamento di Microsoft Sentinel nel tenant dei playbook selezionare Impostazioni.
      2. Nel pannello Impostazioni selezionare la scheda Impostazioni , quindi l'espansione delle autorizzazioni del Playbook .
      3. Fare clic sul pulsante Configura autorizzazioni per aprire il pannello Gestisci autorizzazioni indicato in precedenza e continuare come descritto qui.

    • Se, in uno scenario MSSP , si vuole eseguire un playbook in un tenant del cliente da una regola di automazione creata durante l'accesso al tenant del provider di servizi, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook in entrambi i tenant. Nel tenant del cliente seguire le istruzioni per la distribuzione multi-tenant nel punto punto elenco precedente. Nel tenant del provider di servizi è necessario aggiungere l'app Azure Security Insights nel modello di onboarding di Azure Lighthouse:

      1. Dal portale di Azure passare ad Azure Active Directory.
      2. Fare clic su Applicazioni aziendali.
      3. Selezionare Tipo di applicazione e filtrare in Applicazioni Microsoft.
      4. Nella casella di ricerca digitare Azure Security Insights.
      5. Copiare il campo ID oggetto . Sarà necessario aggiungere questa autorizzazione aggiuntiva alla delega di Azure Lighthouse esistente.

      Il ruolo Collaboratore automazione di Microsoft Sentinel ha un GUID predefinito, che è f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un'autorizzazione di Azure Lighthouse di esempio sarà simile alla seguente nel modello di parametri:

      {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

  7. Impostare una data di scadenza per la regola di automazione, se necessario.

  8. Immettere un numero in Ordine per determinare dove verranno eseguite le regole di automazione nella sequenza di regole di automazione.

  9. Fare clic su Applica. L'operazione è completata.

Scopri altri modi per creare regole di automazione.

Rispondere agli avvisi

Si usa un playbook per rispondere a un avviso creando una regola di analisi o modificando una regola esistente, che viene eseguita quando viene generato l'avviso e selezionando il playbook come risposta automatica nella procedura guidata delle regole di analisi.

  1. Nel pannello Analisi nel menu di spostamento di Microsoft Sentinel selezionare la regola di analisi per cui si vuole automatizzare la risposta e fare clic su Modifica nel riquadro dei dettagli.

  2. Nella procedura guidata regole di Analisi - Modificare la pagina delle regole pianificate esistenti selezionare la scheda Risposta automatizzata .

    Scheda Risposta automatica

  3. Scegliere il playbook dall'elenco a discesa. È possibile scegliere più playbook, ma saranno disponibili solo playbook che usano il trigger di avviso .

  4. Nella scheda Rivedi e aggiorna selezionare Salva.

Eseguire un playbook su richiesta

È anche possibile eseguire manualmente un playbook su richiesta, su entrambi gli eventi imprevisti (in anteprima) e sugli avvisi. Ciò può essere utile in situazioni in cui si vuole più input umano in e controllare i processi di orchestrazione e risposta.

Eseguire manualmente un playbook in un avviso

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

  2. Selezionare Visualizza dettagli completi nella parte inferiore del riquadro dettagli evento imprevisto.

  3. Nella pagina dei dettagli dell'evento imprevisto scegliere l'avviso su cui eseguire il playbook. Selezionare i tre punti alla fine della riga dell'avviso e scegliere Esegui playbook dal menu a comparsa.

  4. Verrà aperto il riquadro Playbook avviso . Verrà visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli avvisi di Microsoft Sentinel a cui si ha accesso.

  5. Selezionare Esegui sulla riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia delle esecuzioni per i playbook in un avviso selezionando la scheda Esecuzioni nel riquadro Playbook di avviso . Potrebbe essere necessario alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. La selezione di un'esecuzione specifica aprirà il log di esecuzione completo in App per la logica.

Eseguire manualmente un playbook in un evento imprevisto

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

  2. Nel riquadro dei dettagli dell'evento imprevisto visualizzato a destra selezionare Azioni > Esegui playbook (anteprima).
    Selezionando i tre punti alla fine della riga dell'evento imprevisto sulla griglia o facendo clic con il pulsante destro del mouse sull'evento imprevisto, verrà visualizzato lo stesso elenco del pulsante Azione .

  3. Il playbook Runbook nel pannello degli eventi imprevisti si apre a destra. Verrà visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli eventi imprevisti di Microsoft Sentinel a cui si ha accesso.

    Nota

    Se non viene visualizzato il playbook da eseguire nell'elenco, significa che Microsoft Sentinel non dispone delle autorizzazioni per eseguire playbook nel gruppo di risorse (vedere la nota precedente). Per concedere tali autorizzazioni, selezionare Impostazioni dal menu principale, scegliere la scheda Impostazioni , espandere l'espansore delle autorizzazioni playbook e selezionare Configura autorizzazioni. Nel pannello Gestisci autorizzazioni aperto contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica.

  4. Selezionare Esegui sulla riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia delle esecuzioni per i playbook in un evento imprevisto selezionando la scheda Esecuzioni nel playbook Run nel pannello degli eventi imprevisti . Potrebbe essere necessario alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. La selezione di un'esecuzione specifica aprirà il log di esecuzione completo in App per la logica.

Eseguire manualmente un playbook in un'entità

  1. Selezionare un'entità in uno dei modi seguenti, a seconda del contesto di origine:

    Se si trova nella pagina dei dettagli di un evento imprevisto (nuova versione, ora in anteprima):

    1. Nel widget Entità nella scheda Panoramica trovare un'entità dall'elenco (non selezionarla).
    2. Selezionare i tre punti a destra dell'entità.
    3. Selezionare Esegui playbook (anteprima) dal menu a comparsa e continuare con il passaggio 2 seguente.
      Se si seleziona l'entità e si immette la scheda Entità della pagina dettagli evento imprevisto, continuare con la riga successiva seguente.
    4. Trovare un'entità dall'elenco (non selezionarla).
    5. Selezionare i tre punti a destra dell'entità.
    6. Selezionare Esegui playbook (anteprima) dal menu a comparsa.
      Se è stata selezionata l'entità ed è stata immessa la pagina dell'entità, selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

    Se si trova nella pagina dei dettagli di un evento imprevisto (versione legacy):

    1. Selezionare la scheda Entità dell'evento imprevisto.
    2. Trovare un'entità dall'elenco (non selezionarla).
    3. Selezionare il collegamento Run playbook (anteprima) alla fine della riga nell'elenco.
      Se è stata selezionata l'entità ed è stata immessa la pagina dell'entità, selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

    Se si è nel grafico Di indagine:

    1. Selezionare un'entità nel grafico.
    2. Selezionare il pulsante Esegui playbook (anteprima) nel pannello lato entità.
      Per alcuni tipi di entità, potrebbe essere necessario selezionare il pulsante Azioni entità e dal menu risultante selezionare Esegui playbook (anteprima).

    Se si sta cercando in modo proattivo le minacce:

    1. Nella schermata Comportamento entità selezionare un'entità dagli elenchi nella pagina oppure cercare e selezionare un'altra entità.
    2. Nella pagina dell'entità selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

  2. Indipendentemente dal contesto proveniente, le istruzioni riportate sopra apriranno tutti il playbook Runbook nel <pannello dei tipi> di entità. Verrà visualizzato un elenco di tutti i playbook a cui è stato eseguito l'accesso configurato con il trigger app per la logica delle entità di Microsoft Sentinel per il tipo di entità selezionato.

  3. Selezionare Esegui sulla riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia delle esecuzioni per i playbook in una determinata entità selezionando la scheda Esecuzioni nel playbook runbook nel <pannello tipo di> entità. Potrebbe essere necessario alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. La selezione di un'esecuzione specifica aprirà il log di esecuzione completo in App per la logica.

Passaggi successivi

In questa esercitazione si è appreso come usare playbook e regole di automazione in Microsoft Sentinel per rispondere alle minacce.