Esercitazione: Rispondere alle minacce usando playbook con regole di automazione in Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questa esercitazione illustra come usare i playbook insieme alle regole di automazione per automatizzare la risposta agli eventi imprevisti e correggere le minacce alla sicurezza rilevate da Microsoft Sentinel. Al termine di questa esercitazione, sarà possibile:

  • Creare una regola di automazione
  • Creare un playbook
  • Aggiungere azioni a un playbook
  • Collegare un playbook a una regola di automazione o a una regola di analisi per automatizzare la risposta alle minacce

Nota

Questa esercitazione fornisce indicazioni di base per un'attività principale del cliente: creazione dell'automazione per valutare gli eventi imprevisti. Per altre informazioni, vedere la sezione Procedure, ad esempio Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel e Usare trigger e azioni nei playbook di Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Che cosa sono le regole di automazione e i playbook?

Le regole di automazione consentono di valutare gli eventi imprevisti in Microsoft Sentinel. È possibile usarli per assegnare automaticamente gli eventi imprevisti al personale corretto, chiudere incidenti rumorosi o falsi positivi noti, modificarne la gravità e aggiungere tag. Sono anche il meccanismo in base al quale è possibile eseguire playbook in risposta a eventi imprevisti o avvisi.

I playbook sono raccolte di procedure che possono essere eseguite da Microsoft Sentinel in risposta a un intero evento imprevisto, a un singolo avviso o a un'entità specifica. Un playbook può essere utile per automatizzare e orchestrare la risposta e può essere impostato per l'esecuzione automatica quando vengono generati avvisi specifici o quando vengono creati o aggiornati eventi imprevisti, associandosi a una regola di automazione. Può anche essere eseguito manualmente su richiesta su eventi imprevisti, avvisi o entità specifici.

I playbook in Microsoft Sentinel sono basati su flussi di lavoro incorporati in App per la logica di Azure, il che significa che si ottengono tutte le potenzialità, la personalizzazione e i modelli predefiniti di App per la logica. Ogni playbook viene creato per la sottoscrizione specifica a cui appartiene, ma il playbook visualizza tutti i playbook disponibili in tutte le sottoscrizioni selezionate.

Nota

Poiché i playbook usano App per la logica di Azure, possono essere applicati addebiti aggiuntivi. Per altri dettagli, visitare la pagina dei prezzi di App per la logica di Azure.

Ad esempio, se si vuole impedire agli utenti potenzialmente compromessi di spostarsi in rete e rubare informazioni, è possibile creare una risposta automatizzata e multifatta agli eventi imprevisti generati da regole che rilevano utenti compromessi. Per iniziare, creare un playbook che esegue le azioni seguenti:

  1. Quando il playbook viene chiamato da una regola di automazione passando un evento imprevisto, il playbook apre un ticket in ServiceNow o in qualsiasi altro sistema di ticket IT.

  2. Invia un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che gli analisti della sicurezza siano a conoscenza dell'evento imprevisto.

  3. Invia anche tutte le informazioni nell'evento imprevisto in un messaggio di posta elettronica all'amministratore di rete senior e all'amministratore della sicurezza. Il messaggio di posta elettronica includerà i pulsanti di opzione Blocca e Ignora utente.

  4. Il playbook attende fino a quando non viene ricevuta una risposta dagli amministratori, quindi continua con i passaggi successivi.

  5. Se gli amministratori scelgono Blocca, invia un comando a Microsoft Entra ID per disabilitare l'utente e uno al firewall per bloccare l'indirizzo IP.

  6. Se gli amministratori scelgono Ignora, il playbook chiude l'evento imprevisto in Microsoft Sentinel e il ticket in ServiceNow.

Per attivare il playbook, si creerà quindi una regola di automazione eseguita quando vengono generati questi eventi imprevisti. Questa regola eseguirà questi passaggi:

  1. La regola modifica lo stato dell'evento imprevisto in Attivo.

  2. Assegna l'evento imprevisto all'analista associato alla gestione di questo tipo di evento imprevisto.

  3. Aggiunge il tag "utente compromesso".

  4. Infine, chiama il playbook appena creato. Per questo passaggio sono necessarie autorizzazioni speciali.

I playbook possono essere eseguiti automaticamente in risposta agli eventi imprevisti creando regole di automazione che chiamano i playbook come azioni, come nell'esempio precedente. Possono anche essere eseguiti automaticamente in risposta agli avvisi, indicando alla regola di analisi di eseguire automaticamente uno o più playbook quando viene generato l'avviso.

È anche possibile scegliere di eseguire un playbook manualmente su richiesta, come risposta a un avviso selezionato.

Ottenere un'introduzione più completa e dettagliata all'automazione della risposta alle minacce usando regole di automazione e playbook in Microsoft Sentinel.

Creare un playbook

Seguire questa procedura per creare un nuovo playbook in Microsoft Sentinel:

  1. Per Microsoft Sentinel nella portale di Azure, selezionare la pagina Automazione configurazione>. Per Microsoft Sentinel nel portale di Defender selezionare Automazione della configurazione>di Microsoft Sentinel.>

  2. Nel menu in alto selezionare Crea.

  3. Il menu a discesa visualizzato in Crea offre quattro opzioni per la creazione di playbook:

    1. Se si sta creando un playbook Standard (il nuovo tipo: vedere Tipi di app per la logica), selezionare Playbook vuoto e quindi seguire i passaggi nella scheda Standard di App per la logica di seguito.

    2. Se si sta creando un playbook a consumo (il tipo originale, classico), a seconda del trigger da usare, selezionare Playbook con trigger di eventi imprevisti, Playbook con trigger di avviso o Playbook con trigger di entità. Continuare quindi seguendo i passaggi della scheda Consumo di App per la logica di seguito.

      Per altre informazioni sul trigger da usare, vedere Usare trigger e azioni nei playbook di Microsoft Sentinel.

Preparare il playbook e l'app per la logica

Indipendentemente dal trigger scelto per creare il playbook con nel passaggio precedente, verrà visualizzata la procedura guidata Crea playbook .

Creare un'app per la logica

  1. Nella scheda Informazioni di base:

    1. Selezionare la sottoscrizione, il gruppo di risorse el'area a scelta tra i rispettivi elenchi a discesa. L'area scelta è la posizione in cui verranno archiviate le informazioni sull'app per la logica.

    2. Immettere un nome per il playbook in Nome playbook.

    3. Se si vuole monitorare l'attività di questo playbook a scopo di diagnostica, selezionare la casella di controllo Abilita log di diagnostica in Log Analytics e scegliere l'area di lavoro Log Analytics dall'elenco a discesa.

    4. Se i playbook devono accedere alle risorse protette all'interno o connesse a una rete virtuale di Azure, potrebbe essere necessario usare un ambiente del servizio di integrazione (I edizione Standard). In tal caso, selezionare la casella di controllo Associa all'ambiente del servizio di integrazione e selezionare l'I edizione Standard desiderato dall'elenco a discesa.

    5. Selezionare Avanti: Connessione ions >.

  2. Nella scheda Connessione ions:

    Idealmente, è consigliabile lasciare questa sezione così come è, configurare App per la logica per connettersi a Microsoft Sentinel con identità gestita. Informazioni su questa e altre alternative di autenticazione.

    Selezionare Avanti: Rivedi e crea >.

  3. Nella scheda Rivedi e crea :

    Esaminare le scelte di configurazione effettuate e selezionare Crea e continuare con la finestra di progettazione.

  4. Il playbook richiederà alcuni minuti per essere creato e distribuito, dopo di che verrà visualizzato il messaggio "La distribuzione è stata completata" e verrà visualizzata la finestra progettazione app per la logica del nuovo playbook. Il trigger scelto all'inizio verrà aggiunto automaticamente come primo passaggio ed è possibile continuare a progettare il flusso di lavoro da questa posizione.

    Screenshot della schermata di Progettazione app per la logica con il trigger di apertura.

    Se è stato scelto il trigger dell'entità (anteprima) di Microsoft Sentinel, selezionare il tipo di entità che si vuole che questo playbook riceva come input.

    Screenshot dell'elenco a discesa dei tipi di entità tra cui scegliere per impostare lo schema del playbook.

Aggiunta di azioni

Ora è possibile definire cosa accade quando si chiama il playbook. È possibile aggiungere azioni, condizioni logiche, cicli o cambiare condizioni del caso, tutte selezionando Nuovo passaggio. Questa selezione apre un nuovo frame nella finestra di progettazione, in cui è possibile scegliere un sistema o un'applicazione con cui interagire o una condizione da impostare. Immettere il nome del sistema o dell'applicazione nella barra di ricerca nella parte superiore del frame e quindi scegliere tra i risultati disponibili.

In ognuno di questi passaggi, facendo clic su un campo viene visualizzato un pannello con due menu: Contenuto dinamico ed Espressione. Dal menu Contenuto dinamico è possibile aggiungere riferimenti agli attributi dell'avviso o dell'evento imprevisto passato al playbook, inclusi i valori e gli attributi di tutte le entità mappate e i dettagli personalizzati contenuti nell'avviso o nell'evento imprevisto. Dal menu Espressione è possibile scegliere una libreria di funzioni di grandi dimensioni per aggiungere logica aggiuntiva ai passaggi.

Questo screenshot mostra le azioni e le condizioni da aggiungere nella creazione del playbook descritto nell'esempio all'inizio di questo documento. Altre informazioni sull'aggiunta di azioni ai playbook.

Screenshot che mostra la finestra di progettazione dell'app per la logica con un flusso di lavoro del trigger di eventi imprevisti.

Vedere Usare trigger e azioni nei playbook di Microsoft Sentinel per informazioni dettagliate sulle azioni che è possibile aggiungere ai playbook per scopi diversi.

In particolare, prendere nota di queste importanti informazioni sui playbook basati sul trigger di entità in un contesto non imprevisto.

Automatizzare le risposte alle minacce

Il playbook è stato creato e definito il trigger, sono state impostate le condizioni e sono state specificate le azioni che verranno eseguite e gli output che produrranno. È ora necessario determinare i criteri in base ai quali verrà eseguito e configurare il meccanismo di automazione che verrà eseguito quando questi criteri vengono soddisfatti.

Rispondere agli eventi imprevisti e agli avvisi

Per usare un playbook per rispondere automaticamente a un intero evento imprevisto o a un singolo avviso, creare una regola di automazione che verrà eseguita quando viene creato o aggiornato l'evento imprevisto o quando viene generato l'avviso. Questa regola di automazione includerà un passaggio che chiama il playbook che si vuole usare.

Per creare una regola di automazione:

  1. Nella pagina Automazione del menu di spostamento di Microsoft Sentinel selezionare Crea dal menu in alto e quindi regola di automazione.

    Screenshot che mostra come aggiungere una nuova regola di automazione.

  2. Viene visualizzato il pannello Crea nuova regola di automazione. Immettere un nome per la regola.

    Le opzioni variano a seconda che l'area di lavoro sia stata eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza. Ad esempio:

  3. Trigger: selezionare il trigger appropriato in base alla circostanza per cui si sta creando la regola di automazione: quando viene creato l'evento imprevisto, Quando viene aggiornato l'evento imprevisto o Quando viene creato un avviso.

  4. Condizioni:

    1. Se l'area di lavoro non è ancora stata eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, gli eventi imprevisti possono avere due possibili origini:

      Se è stato selezionato uno dei trigger di eventi imprevisti e si vuole che la regola di automazione venga applicata solo agli eventi imprevisti originati in Microsoft Sentinel o in alternativa in Microsoft Defender XDR, specificare l'origine nella condizione Se il provider di eventi imprevisti è uguale.

      Questa condizione verrà visualizzata solo se è selezionato un trigger di eventi imprevisti e l'area di lavoro non viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza.

    2. Per tutti i tipi di trigger, se si vuole che la regola di automazione venga applicata solo a determinate regole di analisi, specificare quali modificare il nome della regola If Analytics contiene la condizione.

    3. Aggiungere eventuali altre condizioni che si desidera determinare se questa regola di automazione verrà eseguita. Selezionare + Aggiungi e scegliere condizioni o gruppi di condizioni dall'elenco a discesa. L'elenco delle condizioni viene popolato dai campi dettagli avviso e identificatore di entità.

  5. Azioni:

    1. Poiché si usa questa regola di automazione per eseguire un playbook, scegliere l'azione Esegui playbook dall'elenco a discesa. Verrà quindi richiesto di scegliere da un secondo elenco a discesa che mostra i playbook disponibili. Una regola di automazione può eseguire solo i playbook che iniziano con lo stesso trigger (evento imprevisto o avviso) del trigger definito nella regola, quindi solo i playbook verranno visualizzati nell'elenco.

      Importante

      A Microsoft Sentinel devono essere concesse autorizzazioni esplicite per eseguire playbook, sia manualmente che da regole di automazione. Se un playbook viene visualizzato in grigio nell'elenco a discesa, significa che Sentinel non dispone dell'autorizzazione per il gruppo di risorse del playbook. Fare clic sul collegamento Manage playbook permissions (Gestisci autorizzazioni playbook) per assegnare le autorizzazioni.

      Nel pannello Gestisci autorizzazioni visualizzato contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e fare clic su Applica.

      Screenshot che mostra la sezione actions con run playbook selezionato.

      • È necessario disporre delle autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario avere il ruolo Collaboratore app per la logica in qualsiasi gruppo di risorse contenente i playbook da eseguire.

      • In una distribuzione multi-tenant, se il playbook da eseguire si trova in un tenant diverso, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook nel tenant del playbook.

        1. Nel menu di spostamento di Microsoft Sentinel nel tenant dei playbook selezionare Impostazioni.
        2. Nel pannello Impostazioni selezionare la scheda Impostazioni e quindi l'espansione delle autorizzazioni del Playbook.
        3. Fare clic sul pulsante Configura autorizzazioni per aprire il pannello Gestisci autorizzazioni indicato in precedenza e continuare come descritto.

      • Se, in uno scenario MSSP , si vuole eseguire un playbook in un tenant del cliente da una regola di automazione creata durante l'accesso al tenant del provider di servizi, è necessario concedere a Microsoft Sentinel l'autorizzazione per eseguire il playbook in entrambi i tenant. Nel tenant del cliente seguire le istruzioni per la distribuzione multi-tenant nel punto punto elenco precedente. Nel tenant del provider di servizi è necessario aggiungere l'app Azure Security Insights nel modello di onboarding di Azure Lighthouse:

        1. Dal portale di Azure passare a Microsoft Entra ID.
        2. Fare clic su Applicazioni aziendali.
        3. Selezionare Tipo di applicazione e filtrare in Applicazioni Microsoft.
        4. Nella casella di ricerca digitare Azure Security Insights.
        5. Copiare il campo ID oggetto. Sarà necessario aggiungere questa autorizzazione aggiuntiva alla delega di Azure Lighthouse esistente.

        Il ruolo Collaboratore automazione di Microsoft Sentinel ha un GUID fisso, ovvero f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un'autorizzazione di Azure Lighthouse di esempio sarà simile alla seguente nel modello di parametri:

        {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

    2. Aggiungere tutte le altre azioni desiderate per questa regola. È possibile modificare l'ordine di esecuzione delle azioni selezionando le frecce su o giù a destra di qualsiasi azione.

  6. Impostare una data di scadenza per la regola di automazione, se necessario.

  7. Immettere un numero in Ordine per determinare dove verranno eseguite le regole di automazione nella sequenza di regole di automazione.

  8. Selezionare Applica. Questo è tutto.

Scoprire altri modi per creare regole di automazione.

Rispondere agli avvisi: metodo legacy

Un altro modo per eseguire i playbook automaticamente in risposta agli avvisi consiste nel chiamarli da una regola di analisi. Quando la regola genera un avviso, viene eseguito il playbook.

Questo metodo verrà deprecato a partire da marzo 2026.

A partire da giugno 2023, non è più possibile aggiungere playbook alle regole di analisi in questo modo. Tuttavia, è comunque possibile visualizzare i playbook esistenti chiamati dalle regole di analisi e questi playbook verranno comunque eseguiti fino a marzo 2026. Si consiglia vivamente di creare regole di automazione per chiamare questi playbook prima di allora.

Eseguire un playbook su richiesta

È anche possibile eseguire manualmente un playbook su richiesta, in risposta a avvisi, eventi imprevisti (in anteprima) o entità (anche in anteprima). Ciò può essere utile nelle situazioni in cui si desidera un input più umano in e controllare i processi di orchestrazione e risposta.

Eseguire un playbook manualmente in un avviso

Questa procedura non è supportata nella piattaforma unificata per le operazioni di sicurezza.

Nella portale di Azure selezionare una delle schede seguenti in base alle esigenze per l'ambiente:

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

    Nella portale di Azure selezionare Visualizza dettagli completi nella parte inferiore del riquadro dei dettagli dell'evento imprevisto per aprire la pagina dei dettagli dell'evento imprevisto.

  2. Nella pagina dei dettagli dell'evento imprevisto, nel widget Sequenza temporale eventi imprevisti, scegliere l'avviso in cui si vuole eseguire il playbook. Selezionare i tre puntini alla fine della riga dell'avviso e scegliere Esegui playbook dal menu a comparsa.

    Screenshot dell'esecuzione di un playbook su richiesta di un avviso.

  3. Verrà aperto il riquadro Playbook avvisi. Verrà visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli avvisi di Microsoft Sentinel a cui si ha accesso.

  4. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia di esecuzione per i playbook in un avviso selezionando la scheda Esecuzioni nel riquadro Playbook di avviso. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, verrà aperto il log di esecuzione completo in App per la logica.

Eseguire un playbook manualmente in un evento imprevisto (anteprima)

Questa procedura è diversa, a seconda che si stia lavorando in Microsoft Sentinel o nella piattaforma unificata per le operazioni di sicurezza. Selezionare la scheda pertinente per l'ambiente:

  1. Nella pagina Eventi imprevisti selezionare un evento imprevisto.

  2. Nel riquadro dei dettagli dell'evento imprevisto visualizzato a destra selezionare Azioni > Esegui playbook (anteprima).
    (Selezionando i tre puntini alla fine della linea dell'evento imprevisto nella griglia o facendo clic con il pulsante destro del mouse sull'evento imprevisto verrà visualizzato lo stesso elenco del Pulsante Azione .

  3. Il playbook Esegui nel pannello degli eventi imprevisti si apre a destra. Verrà visualizzato un elenco di tutti i playbook configurati con il trigger di App per la logica degli eventi imprevisti di Microsoft Sentinel a cui si ha accesso.

    Se non viene visualizzato il playbook che si vuole eseguire nell'elenco, significa che Microsoft Sentinel non dispone delle autorizzazioni per eseguire playbook in tale gruppo di risorse (vedere la nota precedente).

    Per concedere tali autorizzazioni, selezionare Impostazioni> Impostazioni> Configura>autorizzazioni di Playbook. Nel pannello Gestisci autorizzazioni visualizzato contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica.

  4. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

    È necessario avere il ruolo dell'operatore playbook di Microsoft Sentinel in qualsiasi gruppo di risorse contenente playbook da eseguire. Se non è possibile eseguire il playbook a causa di autorizzazioni mancanti, è consigliabile contattare un amministratore per concedere le autorizzazioni pertinenti. Per altre informazioni, vedere Autorizzazioni necessarie per l'uso dei playbook.

Visualizzare la cronologia di esecuzione per i playbook in un evento imprevisto selezionando la scheda Esecuzioni nel playbook Esegui nel pannello degli eventi imprevisti . Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, verrà aperto il log di esecuzione completo in App per la logica.

Eseguire un playbook manualmente in un'entità (anteprima)

Questa procedura non è supportata nella piattaforma unificata per le operazioni di sicurezza.

  1. Selezionare un'entità in uno dei modi seguenti, a seconda del contesto di origine:

    Se ci si trova nella pagina dei dettagli di un evento imprevisto (nuova versione):

    1. Nel widget Entities (Entità) nella scheda Panoramica trovare un'entità dall'elenco (non selezionarla).
    2. Selezionare i tre puntini a destra dell'entità.
    3. Selezionare Esegui playbook (anteprima) dal menu a comparsa e continuare con il passaggio 2 riportato di seguito.
      Se è stata selezionata l'entità ed è stata immessa la scheda Entità della pagina dei dettagli dell'evento imprevisto, continuare con la riga successiva seguente.
    4. Trovare un'entità dall'elenco (non selezionarla).
    5. Selezionare i tre puntini a destra dell'entità.
    6. Selezionare Esegui playbook (anteprima) dal menu a comparsa.
      Se è stata selezionata l'entità ed è stata immessa la relativa pagina di entità, selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

    Se ci si trova nella pagina dei dettagli di un evento imprevisto (versione legacy):

    1. Selezionare la scheda Entità dell'evento imprevisto.
    2. Trovare un'entità dall'elenco (non selezionarla).
    3. Selezionare il collegamento Esegui playbook (anteprima) alla fine della riga nell'elenco.
      Se è stata selezionata l'entità ed è stata immessa la relativa pagina di entità, selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

    Se si è nel grafico indagine:

    1. Selezionare un'entità nel grafico.
    2. Selezionare il pulsante Esegui playbook (anteprima) nel pannello laterale dell'entità.
      Per alcuni tipi di entità, potrebbe essere necessario selezionare il pulsante Azioni entità e dal menu risultante selezionare Run playbook (Preview).

    Se si esegue la ricerca proattiva di minacce:

    1. Nella schermata Comportamento entità selezionare un'entità dagli elenchi nella pagina oppure cercare e selezionare un'altra entità.
    2. Nella pagina dell'entità selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

  2. Indipendentemente dal contesto ottenuto, le istruzioni precedenti apriranno tutti il playbook Run nel <pannello del tipo di> entità. Verrà visualizzato un elenco di tutti i playbook a cui si ha accesso configurato con il trigger di App per la logica delle entità di Microsoft Sentinel per il tipo di entità selezionato.

  3. Selezionare Esegui nella riga di un playbook specifico per eseguirlo immediatamente.

È possibile visualizzare la cronologia di esecuzione per i playbook in una determinata entità selezionando la scheda Esecuzioni nel pannello Esegui playbook sul< tipo di> entità. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata nell'elenco. Se si seleziona un'esecuzione specifica, verrà aperto il log di esecuzione completo in App per la logica.

Passaggi successivi

In questa esercitazione si è appreso come usare playbook e regole di automazione in Microsoft Sentinel per rispondere alle minacce.