Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel

Gli analisti del centro operazioni per la sicurezza gestiscono numerosi avvisi di sicurezza ed eventi imprevisti e il volume più ampio può sovraccaricare i team, causando avvisi ignorati ed eventi imprevisti non analizzati. Molti avvisi ed eventi imprevisti possono essere risolti dagli stessi set di azioni di correzione predefinite, che possono essere automatizzate per rendere il centro operazioni per la sicurezza più efficiente e consentire agli analisti di eseguire analisi più approfondite.

Usare i playbook di Microsoft Sentinel per eseguire set preconfigurati di azioni correttive per automatizzare e orchestrare la risposta alle minacce. Eseguire automaticamente playbook, in risposta ad avvisi ed eventi imprevisti specifici che attivano una regola di automazione configurata o manualmente e su richiesta di una determinata entità o avviso.

Ad esempio, se un account e un computer sono compromessi, un playbook può isolare automaticamente il computer dalla rete e bloccare l'account al momento in cui il team di centro operazioni per la sicurezza riceve una notifica dell'evento imprevisto.

Nota

Poiché i playbook usano App per la logica di Azure, possono essere applicati costi aggiuntivi. Per altre informazioni, vedere la pagina dei prezzi per App per la logica di Azure.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

La tabella seguente elenca i casi d'uso ad alto livello in cui è consigliabile usare i playbook di Microsoft Sentinel per automatizzare la risposta alle minacce:

Caso d'uso Descrizione
Arricchimento Raccogliere i dati e collegarli a un evento imprevisto per aiutare il team a prendere decisioni più intelligenti.
Sincronizzazione bidirezionale Sincronizzare gli eventi imprevisti di Microsoft Sentinel con altri sistemi di ticket. Ad esempio, creare una regola di automazione per tutte le creazioni di eventi imprevisti e allegare un playbook che apre un ticket in ServiceNow.
Orchestrazione Usare la piattaforma di chat del team di centro operazioni per la sicurezza per controllare meglio la coda degli eventi imprevisti. Ad esempio, inviare un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che i propri analisti della sicurezza siano a conoscenza dell'evento imprevisto.
Response Rispondere immediatamente alle minacce, con dipendenze umane minime, ad esempio quando viene indicato un utente o un computer compromesso. In alternativa, attivare manualmente una serie di passaggi automatizzati durante un'indagine o durante la ricerca.

Per altre informazioni, vedere Casi d'uso del playbook consigliati, modelli ed esempi.

Prerequisiti

I ruoli seguenti sono necessari per usare App per la logica di Azure per creare ed eseguire playbook in Microsoft Sentinel.

Ruolo Descrizione
Proprietario Consente di concedere l'accesso ai playbook nel gruppo di risorse.
Collaboratore di Microsoft Sentinel Consente di collegare un playbook a una regola di analisi o di automazione.
Risponditore di Microsoft Sentinel Consente di accedere a un evento imprevisto per eseguire manualmente un playbook, ma non consente di eseguire il playbook.
Operatore playbook di Microsoft Sentinel Consente di eseguire manualmente un playbook.
Collaboratore per l'automazione di Microsoft Sentinel Consente alle regole di automazione di eseguire playbook. Questo ruolo non viene usato per altri scopi.

La tabella seguente descrive i ruoli necessari in base alla selezione di un'app per la logica a consumo o standard per creare il playbook:

App per la logica Ruoli di Azure Descrizione
Consumo Collaboratore per app per la logica Modificare e gestire le app per la logica. Esegui playbook. Non consente di concedere l'accesso ai playbook.
Consumo Operatore per app per la logica Leggere, abilitare e disabilitare le app per la logica. Non consente di modificare o aggiornare le app per la logica.
Standard Operatore standard di App per la logica Abilitare, inviare di nuovo e disabilitare i flussi di lavoro in un'app per la logica.
Standard Sviluppatore standard di App per la logica Creare e modificare app per la logica.
Standard Collaboratore standard di App per la logica Gestire tutti gli aspetti di un'app per la logica.

Nella scheda Playbook attivi della pagina Automazione vengono visualizzati tutti i playbook attivi disponibili in tutte le sottoscrizioni selezionate. Per impostazione predefinita, un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.

Autorizzazioni aggiuntive necessarie per l'esecuzione di playbook in Microsoft Sentinel

Microsoft Sentinel usa un account del servizio per eseguire playbook sugli incidenti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da incidenti o quando si esegue manualmente un playbook in un incidente specifico.

Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel. Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.

Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo Proprietario o Amministratore accesso utente. Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.

Modelli di playbook (anteprima)

Importante

I modelli di playbook sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

I modelli di playbook sono flussi di lavoro predefiniti, testati e pronti per l'uso che non sono utilizzabili come playbook, ma che possono essere personalizzati in base alle proprie esigenze. È anche consigliabile usare i modelli di playbook come riferimento alle procedure consigliate per lo sviluppo di playbook da zero o come ispirazione per nuovi scenari di automazione.

Accedere ai modelli di playbook dalle seguenti origini:

Ufficio Descrizione
Pagina Automazione di Microsoft Sentinel Nella scheda Modelli di playbook sono elencati tutti i playbook installati. Creare uno o più playbook attivi usando lo stesso modello.

Quando si pubblica una nuova versione di un modello, tutti i playbook attivi creati da tale modello hanno un'etichetta aggiuntiva aggiunta nella scheda Playbook attivi per indicare che è disponibile un aggiornamento.
Pagina Hub dei contenuti di Microsoft Sentinel I modelli di playbook sono disponibili come parte delle soluzioni di prodotto o del contenuto autonomo installato dall'hub contenuti.

Per altre informazioni, vedere:
Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
Scoprire e gestire contenuti predefiniti di Microsoft Sentinel
GitHub Il repository GitHub di Microsoft Sentinel contiene molti altri modelli di playbook. Selezionare Distribuisci in Azure per distribuire un modello nella propria sottoscrizione di Azure.

Tecnicamente un modello di playbook è un modello di Azure Resource Manager (ARM) costituito da diverse risorse: un flusso di lavoro di App per la logica di Azure e le connessioni API per ogni connessione interessata.

Per altre informazioni, vedi:

Flusso di lavoro di creazione e utilizzo del playbook

Usare il flusso di lavoro seguente per creare ed eseguire playbook di Microsoft Sentinel:

  1. Definire lo scenario di automazione. È consigliabile esaminare i casi d'uso dei playbook consigliati e i modelli di playbook per iniziare.

  2. Se non si usa un modello, creare il playbook e compilare l'app per la logica. Per altre informazioni, vedere Creare e gestire playbook di Microsoft Sentinel.

    Testare l'app per la logica eseguendola manualmente. Per altre informazioni, vedere Eseguire manualmente un playbook su richiesta.

  3. Configurare il playbook per l'esecuzione automatica in un nuovo avviso o durante la creazione di eventi imprevisti oppure eseguire il playbook manualmente in base quanto necessitano i propri processi. Per altre informazioni, vedere Rispondere alle minacce con i playbook di Microsoft Sentinel.