Casi d'uso consigliati per playbook, modelli ed esempi

Questo articolo elenca i casi d'uso di esempio per i playbook di Microsoft Sentinel, nonché i playbook di esempio e i modelli di playbook consigliati.

È consigliabile iniziare con i playbook di Microsoft Sentinel per gli scenari SOC seguenti, per i quali sono disponibili modelli di playbook pronti.

Arricchimento: raccogliere e collegare dati a un evento imprevisto per prendere decisioni più intelligenti

Se l'evento imprevisto di Microsoft Sentinel viene creato da un avviso e analitica regola che genera entità di indirizzo IP, configurare l'evento imprevisto per attivare una regola di automazione per eseguire un playbook e raccogliere altre informazioni.

Configurare il playbook con la procedura seguente:

  1. Avviare il playbook quando viene creato l'evento imprevisto. Le entità rappresentate nell'evento imprevisto vengono archiviate nei campi dinamici del trigger di evento imprevisto.

  2. Per ogni indirizzo IP, configurare il playbook per eseguire query su un provider di Intelligence sulle minacce esterno, ad esempio Virus Total, per recuperare più dati.

  3. Aggiungere i dati restituiti e le informazioni dettagliate come commenti dell'evento imprevisto per arricchire l'indagine.

Sincronizzazione bidirezionale per gli eventi imprevisti di Microsoft Sentinel con altri sistemi di ticket

Per sincronizzare i dati degli eventi imprevisti di Microsoft Sentinel con un sistema di ticket, ad esempio ServiceNow:

  1. Creare una regola di automazione per tutta la creazione di eventi imprevisti.

  2. Allegare un playbook che viene attivato quando viene creato un nuovo evento imprevisto.

  3. Configurare il playbook per creare un nuovo ticket in ServiceNow usando il connettore ServiceNow.

    Assicurarsi che i team possano passare facilmente dal ticket ServiceNow all'evento imprevisto di Microsoft Sentinel configurando il playbook per includere il nome dell'evento imprevisto, i campi importanti e un URL per l'evento imprevisto di Microsoft Sentinel nel ticket ServiceNow.

Orchestrazione: controllare la coda degli eventi imprevisti dalla piattaforma di chat SOC

Se l'evento imprevisto di Microsoft Sentinel viene creato da un avviso e analitica regola che genera entità nome utente e indirizzo IP, configurare l'evento imprevisto per attivare una regola di automazione per eseguire un playbook e contattare il team sui canali di comunicazione standard.

Configurare il playbook con la procedura seguente:

  1. Avviare il playbook quando viene creato l'evento imprevisto. Le entità rappresentate nell'evento imprevisto vengono archiviate nei campi dinamici del trigger di evento imprevisto.

  2. Configurare il playbook per inviare un messaggio al canale di comunicazione delle operazioni di sicurezza, ad esempio in Microsoft Teams o Slack per assicurarsi che gli analisti della sicurezza siano a conoscenza dell'evento imprevisto.

  3. Configurare il playbook per inviare tutte le informazioni nell'avviso tramite posta elettronica all'amministratore di rete senior e all'amministratore della sicurezza. Il messaggio di posta elettronica include i pulsanti di opzione Blocca e Ignora utente.

  4. Configurare il playbook per attendere che venga ricevuta una risposta dagli amministratori, quindi continuare l'esecuzione.

  5. Se gli amministratori selezionano Blocca, configurare il playbook per inviare un comando al firewall per bloccare l'indirizzo IP nell'avviso e un altro in Microsoft Entra ID per disabilitare l'utente.

Risposta immediata alle minacce con dipendenze umane minime

In questa sezione vengono forniti due esempi, che rispondono alle minacce di un utente compromesso e a un computer compromesso.

In caso di utente compromesso, ad esempio rilevato da Microsoft Entra ID Protection:

  1. Avviare il playbook quando viene creato un nuovo evento imprevisto di Microsoft Sentinel.

  2. Per ogni entità utente nell'evento imprevisto sospettato di compromissione, configurare il playbook per:

    1. Inviare un messaggio di Teams all'utente, richiedendo di confermare che l'utente ha adottato l'azione sospetta.

    2. Rivolgersi a Microsoft Entra ID Protection per confermare lo stato dell'utente come compromesso. Microsoft Entra ID Protection etichetta l'utente come rischioso e applica tutti i criteri di imposizione già configurati, ad esempio per richiedere all'utente di usare MFA al successivo accesso.

    Nota

    Questa particolare azione Microsoft Entra non avvia alcuna attività di imposizione sull'utente, né avvia alcuna configurazione dei criteri di imposizione. Indica solo a Microsoft Entra ID Protection di applicare i criteri già definiti in base alle esigenze. Qualsiasi imposizione dipende interamente dai criteri appropriati definiti in Microsoft Entra ID Protection.

In caso di computer compromesso, ad esempio individuato da Microsoft Defender per endpoint:

  1. Avviare il playbook quando viene creato un nuovo evento imprevisto di Microsoft Sentinel.

  2. Configurare il playbook con l'azione Entities - Get Hosts (Entità - Ottieni host ) per analizzare i computer sospetti inclusi nelle entità degli eventi imprevisti.

  3. Configurare il playbook per eseguire un comando per Microsoft Defender per endpoint isolare i computer nell'avviso.

Rispondere manualmente durante un'indagine o durante la ricerca senza uscire dal contesto

Usare il trigger di entità per intervenire immediatamente sui singoli attori delle minacce individuati durante un'indagine, uno alla volta, direttamente dall'interno dell'indagine. Questa opzione è disponibile anche nel contesto di ricerca delle minacce, non connessa a qualsiasi evento imprevisto specifico.

Selezionare un'entità nel contesto ed eseguire azioni direttamente in questa posizione, risparmiando tempo e riducendo la complessità.

I playbook con trigger di entità supportano azioni come:

  • Blocco di un utente compromesso.
  • Blocco del traffico da un indirizzo IP dannoso nel firewall.
  • Isolamento di un host compromesso nella rete.
  • Aggiunta di un indirizzo IP a un watchlist di indirizzi sicuro/non sicuro o al database di gestione della configurazione esterna (CMDB).
  • Ottenere un report hash di file da un'origine di Intelligence per le minacce esterna e aggiungerlo a un evento imprevisto come commento.

Questa sezione elenca i playbook consigliati e altri playbook simili sono disponibili nell'hub contenuto o nel repository GitHub di Microsoft Sentinel.

Modelli di playbook di notifica

I playbook di notifica vengono attivati quando viene creato un avviso o un evento imprevisto e si invia una notifica a una destinazione configurata:

Playbook Cartella in
repository di GitHub
Soluzione nell'hub del contenuto/
Azure Marketplace
Pubblicare un messaggio in un canale di Microsoft Teams Post-Message-Teams Soluzione SoAR Essentials di Sentinel
Inviare una notifica tramite posta elettronica di Outlook Invia messaggio di posta elettronica di base Soluzione SoAR Essentials di Sentinel
Pubblicare un messaggio in un canale Slack Post-Message-Slack Soluzione SoAR Essentials di Sentinel
Inviare la scheda adattiva di Microsoft Teams alla creazione di eventi imprevisti Send-Teams-adaptive-card-on-incident-creation Soluzione SoAR Essentials di Sentinel

Blocco dei modelli di playbook

I playbook di blocco vengono attivati quando viene creato un avviso o un evento imprevisto, raccogliere informazioni sull'entità come l'account, l'indirizzo IP e l'host e bloccarle da ulteriori azioni:

Playbook Cartella in
repository di GitHub
Soluzione nell'hub del contenuto/
Azure Marketplace
Bloccare un indirizzo IP in Firewall di Azure AzureFirewall-BlockIP-addNewRule soluzione Firewall di Azure per Sentinel
Bloccare un utente di Microsoft Entra Block-AADUser Soluzione Microsoft Entra
Reimpostare una password utente di Microsoft Entra Reset-AADUserPassword Soluzione Microsoft Entra
Isolare o annullare l'isolamento del dispositivo tramite
Microsoft Defender per endpoint
Isolate-MDEMachine
Unisolate-MDEMachine
Microsoft Defender per endpoint soluzione

Creare, aggiornare o chiudere modelli di playbook

Creare, aggiornare o chiudere playbook possono creare, aggiornare o chiudere eventi imprevisti in Microsoft Sentinel, nei servizi di sicurezza di Microsoft 365 o in altri sistemi di ticket:

Playbook Cartella in
repository di GitHub
Soluzione nell'hub del contenuto/
Azure Marketplace
Creare un evento imprevisto con Microsoft Forms CreateIncident-MicrosoftForms Soluzione SoAR Essentials di Sentinel
Correlare gli avvisi agli eventi imprevisti relateAlertsToIncident-basedOnIP Soluzione SoAR Essentials di Sentinel
Creare un evento imprevisto di Service Now Create-SNOW-record Soluzione ServiceNow

Configurazioni di playbook di uso comune

Questa sezione fornisce screenshot di esempio per le configurazioni di playbook di uso comune, tra cui l'aggiornamento di un evento imprevisto, l'uso dei dettagli dell'evento imprevisto, l'aggiunta di commenti a un evento imprevisto o la disabilitazione di un utente.

Aggiornare un evento imprevisto

Questa sezione fornisce screenshot di esempio di come è possibile usare un playbook per aggiornare un evento imprevisto in base a un nuovo evento imprevisto o a un avviso.

Aggiornare un evento imprevisto in base a un nuovo evento imprevisto (trigger di evento imprevisto ):

Screenshot di un esempio di flusso di aggiornamento semplice del trigger di eventi imprevisti.

Aggiornare un evento imprevisto in base a un nuovo avviso (trigger di avviso ):

Screenshot di un esempio di flusso di eventi imprevisti di aggiornamento semplice del trigger di avviso.

Usare i dettagli degli eventi imprevisti nel flusso

Questa sezione fornisce screenshot di esempio di come usare il playbook per usare i dettagli degli eventi imprevisti altrove nel flusso:

Inviare i dettagli dell'evento imprevisto tramite posta elettronica usando un playbook attivato da un nuovo evento imprevisto:

Screenshot di un esempio di flusso get semplice di un trigger di evento imprevisto.

Inviare i dettagli dell'evento imprevisto tramite posta elettronica usando un playbook attivato da un nuovo avviso:

Screenshot di un esempio di flusso di eventi imprevisti di recupero semplice del trigger di avviso.

Aggiungere un commento a un evento imprevisto

Questa sezione fornisce screenshot di esempio di come usare il playbook per aggiungere commenti a un evento imprevisto:

Aggiungere un commento a un evento imprevisto usando un playbook attivato da un nuovo evento imprevisto:

Screenshot di un esempio di commento di aggiunta semplice di un trigger di evento imprevisto.

Aggiungere un commento a un evento imprevisto usando un playbook attivato da un nuovo avviso:

Screenshot di un esempio di commento di aggiunta semplice del trigger di avviso.

Disabilitare un utente.

Lo screenshot seguente mostra un esempio di come usare il playbook per disabilitare un account utente, in base a un trigger di entità di Microsoft Sentinel:

Screenshot che mostra le azioni da eseguire in un playbook di trigger di entità per disabilitare un utente.