Creare attività di incidenti in Microsoft Sentinel usando le regole di automazione

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come usare le regole di automazione per creare elenchi di attività di incidenti per standardizzare i processi del flusso di lavoro analista in Microsoft Sentinel.

Le attività di incidenti possono essere create automaticamente non solo dalle regole di automazione, ma anche dai playbook e manualmente, ad hoc, dall'interno di un incidente.

Casi d'uso per ruoli diversi

Questo articolo illustra gli scenari seguenti che si applicano ai responsabili SOC, agli analisti senior e agli ingegneri di automazione:

Un altro scenario di questo tipo è affrontato nell'articolo complementare seguente:

Un altro articolo, nei collegamenti seguenti, illustra gli scenari che si applicano maggiormente agli analisti SOC:

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Il ruolo Risponditore di Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli incidenti, entrambi necessari per aggiungere, visualizzare e modificare le attività.

Visualizzare le regole di automazione con le azioni delle attività degli incidenti

Nella pagina Automazione, è possibile filtrare la visualizzazione delle regole di automazione per visualizzare solo quelle con le azioni Aggiungi attività definite.

Screenshot che mostra come filtrare la griglia delle regole di automazione.

  1. Selezionare il filtro Azioni.

  2. Deselezionare la casella di controllo Seleziona tutto.

  3. Scorrere verso il basso e selezionare la casella di controllo Aggiungi attività.

  4. Selezionare OKe visualizzare i risultati.

    Screenshot che mostra i risultati del filtro nella griglia delle regole di automazione.

    Si tratta delle regole di automazione che aggiungono attività agli incidenti. La colonna Nomi della regola di analisi indica le regole di analisi per cui queste regole di automazione sono condizionali, quindi si avrà un'idea generale degli incidenti interessati.

    Nota

    Per sapere esattamente se una regola di automazione verrà applicata a un incidente specifico, è necessario aprire la regola per verificare se sono definite condizioni aggiuntive, oltre alla condizione della regola di analisi. Se vengono definite altre condizioni, l'ambito degli incidenti interessati verrà ristretto di conseguenza.

Aggiungi attività agli eventi imprevisti con regole di automazione

  1. Nella pagina Automazione, selezionare + Crea e selezionare Regola di automazione.

  2. Il pannello Crea nuova regola di automazione verrà aperto sul lato destro.
    Assegnare alla regola di automazione un nome che descrive le operazioni che esegue.

  3. Selezionare Quando viene creato un incidente come trigger (è anche possibile usare Quando viene aggiornato l'incidente).

  4. Aggiungere Condizioni per determinare a quali incidenti verranno aggiunte nuove attività.

    Ad esempio, filtrare in base al Nome della regola di analisi:

    • È possibile aggiungere attività agli incidenti in base ai tipi di minacce rilevate da una regola di analisi o da un gruppo di regole di analisi che devono essere gestite in base a un determinato flusso di lavoro. Cercare e selezionare le regole di analisi pertinenti nell'elenco a discesa.

    • In alternativa, è possibile aggiungere attività rilevanti per gli incidenti in tutti i tipi di minacce (in questo caso lasciare invariata la selezione predefinita Tutti).

    In entrambi i casi, è possibile aggiungere altre condizioni per restringere l'ambito degli incidenti a cui verrà applicata la regola di automazione. Altre informazioni sull'aggiunta di condizioni avanzate alle regole di automazione.

    Un aspetto da considerare è che l'ordine in cui le attività vengono visualizzate nell'incidente è determinato dal tempo di creazione delle attività. Puoi impostare l'ordine delle regole di automazione, in modo che le regole che aggiungono attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo in seguito tutte le regole che aggiungono attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche.

    Screenshot della prima parte della procedura guidata della regola di automazione.

  5. In Azioni, selezionare Aggiungi attività.

    Screenshot della scelta dell'azione Aggiungi attività in una regola di automazione.

  6. Per ogni attività immettere, un titolo nel campo Titolo attività, quindi (facoltativamente) selezionare + Aggiungi descrizione per aprire un campo di descrizione.
    Solo i titoli delle attività vengono visualizzati per impostazione predefinita nel pannello dell'elenco attività dell'incidente. La descrizione di un'attività viene visualizzata solo quando l'elemento dell'attività viene espanso.

    Screenshot che mostra come aggiungere un titolo e una descrizione a un'attività.

  7. Nel campo della descrizione, è possibile aggiungere una descrizione in formato libero per l'attività, incluse immagini, collegamenti e formattazione RTF (vedere i collegamenti ipertestuali, gli elenchi numerati e il testo formattato in blocchi di codice negli esempi seguenti).

    Screenshot che mostra come aggiungere una descrizione a un'attività.

  8. Aggiungere altre attività allo stesso gruppo di incidenti selezionando + Aggiungi azione e ripetendo gli ultimi tre passaggi.

    Le attività verranno create e aggiunte all'incidente in base all'ordine delle azioni Aggiungi attività nella regola di automazione.

    Screenshot che mostra come aggiungere altre attività a una regola di automazione.

  9. Completare la creazione della regola di automazione completando i passaggi rimanenti, Scadenza della regola e Ordine, e selezionando Applica alla fine. Per altri dettagli, vedere Creare e usare regole di automazione di Microsoft Sentinel per gestire le risposte.

    Per quanto riguarda l'impostazione Ordine: l'ordine in cui le attività vengono visualizzate negli incidenti dipende da due elementi:

    1. L'ordine di esecuzione delle regole di automazione, come determinato dal numero nell'impostazione Ordine e...
    2. L'ordine delle azioni Aggiungi attivitàdefinite all'interno di ogni regola di automazione.

Passaggi successivi