Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel

Uno dei fattori più importanti per eseguire le operazioni di sicurezza (SecOps) in modo efficace ed efficiente è la standardizzazione dei processi. È previsto che gli analisti secOps eseguano un elenco di passaggi o attività, nel processo di valutazione, analisi o correzione di un evento imprevisto. La standardizzazione e la formalizzazione dell'elenco delle attività possono aiutare a mantenere il soC in esecuzione senza problemi, assicurandosi che gli stessi requisiti si applichino a tutti gli analisti. In questo modo, indipendentemente da chi è in turno, un evento imprevisto otterrà sempre lo stesso trattamento e contratti di servizio. Gli analisti non dovranno dedicare tempo a pensare a cosa fare o preoccuparsi di perdere un passaggio critico. Questi passaggi sono definiti dal responsabile SOC o dagli analisti senior (livello 2/3) in base alle conoscenze di sicurezza comuni (ad esempio NIST), alla loro esperienza con eventi imprevisti precedenti o raccomandazioni fornite dal fornitore della sicurezza che ha rilevato l'evento imprevisto.

Utilizzare casi

• Gli analisti SOC possono usare un unico elenco di controllo centrale per gestire i processi di valutazione, indagine e risposta degli eventi imprevisti, senza doversi preoccupare di perdere un passaggio critico.

• I tecnici SOC o gli analisti senior possono documentare, aggiornare e allineare gli standard di risposta agli eventi imprevisti tra i team e i turni degli analisti. Possono anche creare elenchi di controllo delle attività per formare nuovi analisti o analisti che riscontrano nuovi tipi di eventi imprevisti.

• In qualità di responsabile SOC o di MSSP, è possibile assicurarsi che gli eventi imprevisti vengano gestiti in conformità ai contratti di servizio/SOP pertinenti.

Prerequisiti

Il ruolo Risponditore di Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli eventi imprevisti, entrambi necessari per aggiungere, visualizzare e modificare le attività.

Il ruolo Collaboratore app per la logica è necessario per creare e modificare playbook.

Scenari

Analista

Segui le attività durante la gestione di un evento imprevisto

Quando selezioni un evento imprevisto e visualizzi i dettagli completi, nella pagina dei dettagli dell'evento imprevisto, verranno visualizzate nel pannello di destra tutte le attività aggiunte a tale evento imprevisto, sia manualmente che tramite regole di automazione.

Espandi un'attività per visualizzare la descrizione completa, inclusi l'utente, la regola di automazione o il playbook che lo ha creato.

Contrassegna un'attività completata selezionando il cerchio "checkbox".

Aggiungi attività a un evento imprevisto sullo spot

Puoi aggiungere attività a un evento imprevisto aperto su cui stai lavorando, per fornire promemoria delle azioni individuate o per registrare le azioni intraprese dall'utente che non vengono visualizzate nell'elenco delle attività. Le attività aggiunte in questo modo verranno applicate solo all'evento imprevisto aperto.

Creatore del flusso di lavoro

Aggiungi attività agli eventi imprevisti con regole di automazione

Usa l'azione Aggiungi attività nelle regole di automazione per fornire automaticamente tutti gli eventi imprevisti con un elenco di controllo delle attività per gli analisti. Imposta la condizione del nome della regola di analisi nella regola di automazione per determinare l'ambito:

• Applica la regola di automazione a tutte le regole di analisi per definire un set standard di attività da applicare a tutti gli eventi imprevisti.

• Applicando la regola di automazione a un set limitato di regole di analisi, puoi assegnare attività specifiche a eventi imprevisti specifici, in base alle minacce rilevate dalla regola di analisi o dalle regole che hanno generato tali eventi imprevisti.

Considera che l'ordine in cui le attività vengono visualizzate nell'evento imprevisto dipende dall'ora di creazione delle attività. Puoi impostare l'ordine delle regole di automazione, in modo che le regole che aggiungono attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo in seguito tutte le regole che aggiungono attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche. All'interno di una singola regola, l'ordine in cui vengono definite le azioni determina l'ordine in cui appaiono in un evento imprevisto.

Verifica quali eventi imprevisti sono coperti da regole e attività di automazione esistenti prima di creare una nuova regola di automazione.
Usa il filtro Azione nell'elenco Regole di automazione per visualizzare solo le regole che aggiungono attività agli eventi imprevisti e vedere le regole di analisi a cui si applicano tali regole di automazione, in modo da comprendere a quali eventi imprevisti verranno aggiunte tali attività.

Aggiungi attività agli eventi imprevisti con playbook

Usa l'azione Aggiungi attività in un playbook (nel connettore Microsoft Sentinel) per aggiungere automaticamente un'attività all'evento imprevisto che ha attivato il playbook.

Usare quindi altre azioni del playbook, nei rispettivi connettori di App per la logica, per completare il contenuto dell'attività.

Infine, usa l'azione Contrassegna come completata (di nuovo nel connettore Microsoft Sentinel) per contrassegnare automaticamente il completamento dell'attività.

Considera gli scenari seguenti come esempi:

• Consenti ai playbook di aggiungere e completare attività: quando viene creato un evento imprevisto, verrà attivato un playbook che esegue le operazioni seguenti:

  1. Aggiungi un'attività all'evento imprevisto per reimpostare la password di un utente.
  2. Esegui l'attività inviando una chiamata API al sistema di provisioning utenti per reimpostare la password dell'utente.
  3. Attendi una risposta dal sistema in caso di esito positivo o negativo della reimpostazione.
     • Se la reimpostazione della password è riuscita, il playbook contrassegna l'attività appena creata nell'evento imprevisto come completata.
     • Se la reimpostazione della password non è riuscita, il playbook non contrassegnerà l'attività come completata, lasciando che venga eseguita da un analista.

• Consenti al playbook di valutare se è necessario aggiungere attività condizionali: quando viene creato un evento imprevisto, verrà attivato un playbook che richiede un report di indirizzo IP da un'origine di intelligence sulle minacce esterna.

  • Se l'indirizzo IP è dannoso, il playbook aggiunge una determinata attività (ad esempio, "Blocca questo indirizzo IP").
  • In caso contrario, il playbook non esegue altre azioni.

Usare regole di automazione o playbook per aggiungere attività?

Quali considerazioni devono determinare quali di questi metodi devono essere usati per creare attività impreviste?

• Regole di automazione: usare quando possibile. Usa per attività statiche semplici che non richiedono interattività.
• Playbook: usare per casi d'uso avanzati, ovvero la creazione di attività in base alle condizioni o alle attività con azioni automatizzate integrate.

Passaggi successivi

• Informazioni su come gli analisti possono usare le attività per gestire il flusso di lavoro degli eventi imprevisti in Microsoft Sentinel.
• Altre informazioni sull'analisi degli eventi imprevisti in Microsoft Sentinel.
• Informazioni su come aggiungere attività a gruppi di eventi imprevisti usando automaticamente regole di automazione o playbook.
• Altre informazioni sulle regole di automazione e su come crearle.
• Altre informazioni sui playbook e su come crearli.