Creare regole di automazione
Le regole di automazione sono un modo per gestire centralmente l'automazione della gestione degli eventi imprevisti, in quanto consentono di eseguire attività semplici senza usare playbook. Ad esempio, le regole di automazione consentono di assegnare automaticamente eventi imprevisti al personale appropriato, contrassegnare gli eventi imprevisti per classificarli, modificarne lo stato e chiuderli. Le regole di automazione possono anche automatizzare le risposte per più regole di analisi contemporaneamente, controllare l'ordine delle azioni eseguite ed eseguire playbook per i casi in cui siano necessarie attività di automazione più complesse. In breve, semplificano l'uso dell'automazione in Microsoft Sentinel e consentono di semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.
Creazione e gestione delle regole di automazione
È possibile creare e gestire le regole di automazione da punti diversi mentre si usa Microsoft Sentinel, a seconda della necessità e del caso d'uso specifico.
Pannello Automazione
Le regole di automazione possono essere gestite centralmente nel nuovo pannello Automazione, che sostituisce il pannello Playbook, nella scheda Regole di automazione. È possibile gestire anche i playbook in questo pannello, nella scheda Playbook. Da qui è possibile creare nuove regole di automazione e modificare quelle esistenti. È anche possibile trascinare le regole di automazione per modificare l'ordine di esecuzione, nonché abilitarle o disabilitarle.
Nel pannello Automazione vengono visualizzate tutte le regole definite nell'area di lavoro, insieme allo stato (abilitato/disabilitato) e alle regole di analisi a cui vengono applicate.
Quando è necessaria una regola di automazione da applicare a molte regole di analisi, crearla direttamente nel pannello Automazione. Dal menu in alto selezionare Crea e Aggiungi nuova regola, che apre il pannello Crea una nuova regola di automazione. Da qui la configurazione della regola è completamente flessibile: è possibile applicarla a tutte le regole di analisi, incluse quelle future, e definire un'ampia gamma di condizioni e azioni.
Procedura guidata per le regole di analisi
Nella scheda Risposta automatica della procedura guidata per le regole di analisi è possibile visualizzare, gestire e creare regole di automazione che si applicano alla determinata regola di analisi creata o modificata nella procedura guidata.
Quando si sceglie Crea e si seleziona uno dei tipi di regola, ovvero Regola di query pianificata o Regola di creazione di eventi imprevisti Microsoft, dal menu in alto nel pannello Analisi oppure se si seleziona una regola di analisi esistente e si seleziona Modifica, si apre la procedura guidata per le regole. Quando si seleziona la scheda Risposta automatica, verrà visualizzata una sezione denominata Automazione di eventi imprevisti, in cui verranno visualizzate le regole di automazione che attualmente si applicano a questa regola. È possibile selezionare una regola di automazione esistente da modificare oppure selezionare Aggiungi nuovo per crearne una nuova.
Si noterà che quando si crea la regola di automazione da qui, il pannello Crea una nuova regola di automazione include la condizione della regola di analisi come non disponibile, perché questa regola è già impostata per essere applicata solo alla regola di analisi che si sta modificando nella procedura guidata. Tutte le altre opzioni di configurazione sono ancora disponibili.
Pannello Eventi imprevisti
È anche possibile creare una regola di automazione dal pannello Eventi imprevisti per rispondere a un singolo evento imprevisto ricorrente. Ciò è utile quando si crea una regola di eliminazione per chiudere automaticamente gli eventi imprevisti "fastidiosi". Selezionare un evento imprevisto dalla coda e selezionare Crea una regola di automazione dal menu in alto.
Si noterà che nel pannello Crea una nuova regola di automazione sono stati popolati tutti i campi con i valori dell'evento imprevisto. Viene assegnato alla regola lo stesso nome dell'evento imprevisto, la si applica alla regola di analisi che ha generato l'evento imprevisto e vengono usate tutte le entità disponibili nell'evento imprevisto come condizioni della regola. Vengono anche suggerite un'azione di eliminazione (chiusura) per impostazione predefinita e una data di scadenza per la regola. È possibile aggiungere o rimuovere condizioni e azioni e modificare la data di scadenza, in base alle esigenze.
Componenti di una regola di automazione
Le regole di automazione sono costituite da diversi componenti:
Trigger: le regole di automazione vengono attivate dalla creazione di un evento imprevisto.
Per approfondire: gli eventi imprevisti vengono creati dagli avvisi generati dalle regole di analisi, di cui sono disponibili diversi tipi, come illustrato nell'esercitazione Rilevare le minacce con regole di analisi predefinite in Microsoft Sentinel.
Condizioni: è possibile definire set complessi di condizioni per definire quando devono essere eseguite azioni (vedere di seguito). Queste condizioni sono in genere basate sugli stati o i valori degli attributi degli eventi imprevisti e delle relative entità e possono includere operatori AND/OR/NOT/CONTAINS.
Azioni: le azioni possono essere definite in modo che vengano eseguite quando vengono soddisfatte determinate condizioni (vedere sopra). È possibile definire molte azioni in una regola e scegliere l'ordine in cui verranno eseguite (vedere di seguito). Le azioni seguenti possono essere definite usando regole di automazione, senza la necessità delle funzionalità avanzate di un playbook:
Modifica dello stato di un evento imprevisto, mantenendo aggiornato il flusso di lavoro.
Quando si passa allo stato "chiuso", specificando il motivo di chiusura e aggiungendo un commento. Ciò consente di tenere traccia delle prestazioni e dell'efficacia e di ottimizzare il processo per ridurre i falsi positivi.
Modifica della gravità di un evento imprevisto: è possibile rivalutare e modificare la priorità in base alla presenza, all'assenza, ai valori o agli attributi delle entità coinvolte nell'evento imprevisto.
Assegnazione di un evento imprevisto a un proprietario: consente di indirizzare i tipi di eventi imprevisti al personale più adatto per gestirli o al personale più disponibile.
Aggiunta di un tag a un evento imprevisto: questo è utile per classificare gli eventi imprevisti in base ai soggetti, agli utenti malintenzionati o a qualsiasi altro denominatore comune.
È anche possibile definire un'azione per eseguire un playbook, per eseguire azioni di risposta più complesse, incluse quelle che coinvolgono sistemi esterni. Per l'uso nelle regole di automazione sono disponibili solo playbook attivati dal trigger di eventi imprevisti. È possibile definire un'azione in modo che includa più playbook o combinazioni di playbook e altre azioni e l'ordine in cui verranno eseguiti.
I playbook che usano una versione di App per la logica (Standard o Consumo) saranno disponibili per l'esecuzione da regole di automazione.
Data di scadenza: è possibile definire una data di scadenza in una regola di automazione. La regola verrà disabilitata dopo tale data. Ciò è utile per la gestione, ovvero la chiusura, di eventi imprevisti "fastidiosi" causati da attività pianificate e limitate nel tempo, come ad esempio i test di penetrazione.
Ordine: è possibile definire l'ordine in cui verranno eseguite le regole di automazione. Le regole di automazione successive valuteranno le condizioni dell'evento imprevisto in base al relativo stato dopo l'esecuzione delle regole di automazione precedenti.
Ad esempio, se "Prima regola di automazione" ha modificato la gravità di un evento imprevisto da media a bassa e "Seconda regola di automazione" è stata definita per l'esecuzione solo sugli eventi imprevisti con gravità media o superiore, la Seconda regola non verrà eseguita su questo evento imprevisto.