Risposte automatiche di Microsoft Sentinel

Microsoft Sentinel
Microsoft Entra ID
App per la logica di azure

Idee per soluzioni

In questo articolo viene descritta un'idea di soluzione. Il cloud architect può usare queste linee guida per visualizzare i componenti principali di un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per il design di una soluzione ben progettata che sia in linea con i requisiti specifici del carico di lavoro.

Microsoft Sentinel è una soluzione scalabile basata sul cloud per informazioni di sicurezza e gestione degli eventi (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR). Offre analisi della sicurezza intelligente per le organizzazioni di tutte le dimensioni e offre le funzionalità seguenti e altro ancora:

  • Rilevamento di attacco alle attività commerciali
  • Ricerca proattiva
  • Risposta automatica agli eventi imprevisti

La risposta alle minacce in Microsoft Sentinel viene gestita tramite i playbook. Quando viene attivato da un avviso o da un evento imprevisto, un playbook esegue una serie di azioni automatizzate per contrastare la minaccia. Questi playbook vengono creati usando Azure Logic Apps.

Microsoft Sentinel offre centinaia di playbook pronti all'uso, inclusi i playbook per gli scenari seguenti:

  • Blocco di un utente Microsoft Entra
  • Blocco di un utente Microsoft Entra in base al rifiuto tramite posta elettronica
  • Pubblicazione di un messaggio in un canale Microsoft Teams relativo a un evento imprevisto o un avviso
  • Pubblicazione di un messaggio su Slack
  • Invio di un messaggio di posta elettronica con i dettagli dell'evento imprevisto o dell'avviso
  • Invio di un messaggio di posta elettronica con un report degli eventi imprevisti formattati
  • Determinare se un utente Microsoft Entra è a rischio
  • Invio di una scheda adattiva tramite Microsoft Teams per determinare se un utente è compromesso
  • Isolamento di un endpoint tramite Microsoft Defender for Endpoint

Questo articolo include un esempio di implementazione di un playbook che risponde a una minaccia bloccando un utente Microsoft Entra compromesso da attività sospette.

Potenziale caso d'uso

Le tecniche descritte in questo articolo si applicano ogni volta che è necessario implementare una risposta automatica a una condizione rilevabile.

Architettura

architettura Microsoft Sentinel tramite playbooks.

Scaricare un file Visio di questa architettura.

Flusso di lavoro

Questo flusso di lavoro illustra i passaggi per distribuire il playbook. Assicurarsi che i prerequisiti siano soddisfatti prima di iniziare. Ad esempio, è necessario scegliere un utente Microsoft Entra.

  1. Seguire i passaggi descritti in Send logs to Azure Monitor per configurare Microsoft Entra ID in modo che invii i log di controllo allo spazio di lavoro di Log Analytics utilizzato con Microsoft Sentinel.

    Nota

    Questa soluzione non usa i log di controllo, ma è possibile usarli per analizzare cosa accade quando l'utente viene bloccato.

  2. Microsoft Entra ID Protection genera gli avvisi che attivano l'esecuzione del playbook di risposta alle minacce. Per fare in modo che Microsoft Sentinel raccolga gli avvisi, passare all'istanza di Microsoft Sentinel e selezionare Connettori dati. Cercare Microsoft Entra ID Protection e abilitare la raccolta di avvisi. Per maggiori informazioni su Azure AD Identity Protection, consultare la sezione Informazioni su Azure AD Identity Protection.

  3. Installare il browser ToR in un computer o in una macchina virtuale (VM) che è possibile usare senza mettere a rischio la sicurezza IT.

  4. Usare Tor Browser per accedere in modo anonimo alle app personali come utente selezionato per questa soluzione. Per istruzioni sull'uso di Tor Browser per simulare indirizzi IP anonimi, vedere Indirizzo IP anonimo.

  5. Microsoft Entra autentica l'utente.

  6. Microsoft Entra ID Protection rileva che l'utente ha usato un browser ToR per accedere in modo anonimo. Questo tipo di accesso è un'attività sospetta che mette a rischio l'utente. Identity Protection invia un avviso a Microsoft Sentinel.

  7. Configurare Microsoft Sentinel per creare un evento imprevisto dall'avviso. Per altre informazioni, vedere Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft. Il modello di regola di Analisi della sicurezza Microsoft da usare è Creare gli eventi imprevisti in base agli avvisi di Microsoft Entra ID Protection.

  8. Quando Microsoft Sentinel attiva un incidente, il playbook risponde con azioni che bloccano l'utente.

Componenti

  • Microsoft Sentinel è una soluzione SIEM e SOAR nativa del cloud. Usa l'intelligenza artificiale avanzata e l'analisi della sicurezza per rilevare e rispondere alle minacce aziendali. Esistono molti playbook su Microsoft Sentinel che è possibile usare per automatizzare le risposte e proteggere il sistema.
  • Microsoft Entra ID è un servizio di gestione delle identità e directory basato sul cloud che combina i servizi directory di base, la gestione degli accessi alle applicazioni e la protezione delle identità in un'unica soluzione. Può essere sincronizzato con le directory locali. Il servizio di gestione delle identità fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale per proteggersi dagli attacchi alla sicurezza informatica. La soluzione illustrata in questo articolo usa Microsoft Entra identity Protect per rilevare attività sospette da un utente.
  • Azure Logic Apps è un servizio cloud serverless per la creazione e l'esecuzione di flussi di lavoro automatizzati che integrano app, dati, servizi e sistemi. Gli sviluppatori possono usare una finestra di progettazione grafica per pianificare e orchestrare flussi di lavoro di attività comuni. Azure Logic Apps ha connectors per molti servizi cloud popolari, prodotti on-premise e altre applicazioni software-as-a-service. In questa soluzione Azure Logic Apps esegue il playbook di risposta alle minacce.

Considerazioni

  • Il framework Azure Well-Architected è un set di set di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.
  • Microsoft Sentinel offre più di 50 playbook pronti per l'uso. È possibile trovarli nella scheda Playbook templates della Microsoft Sentinel|Pagina automazione per l'area di lavoro.
  • GitHub include vari playbook di Microsoft Sentinel creati dalla community.

Distribuire lo scenario

È possibile distribuire questo scenario seguendo la procedura descritta in Flusso di lavoro dopo aver verificato che i prerequisiti siano soddisfatti.

Prerequisiti

Preparare il software e scegliere un utente di test

Per implementare e testare il playbook, è necessario Azure e Microsoft Sentinel insieme ai prerequisiti seguenti:

  • Una licenza Microsoft Entra ID Protection (Premium P2, E3 o E5).
  • Un utente Microsoft Entra. È possibile usare un utente esistente o crearne uno nuovo. Se si crea un nuovo utente, è possibile eliminarlo al termine dell'uso.
  • Un computer o una macchina virtuale in grado di eseguire un browser ToR. Si userà il browser per accedere al portale di My Apps come utente Microsoft Entra.

Distribuire il playbook

Per distribuire un playbook di Microsoft Sentinel, procedi come segue:

  • Se non si dispone di un'area di lavoro Log Analytics da usare per questo esercizio, crearne una nuova come indicato di seguito:
    • Passare alla pagina principale Microsoft Sentinel e selezionare + Crea per accedere alla pagina Aggiungi Microsoft Sentinel a un'area di lavoro.
    • Selezionare Crea una nuova area di lavoro. Seguire le istruzioni per creare la nuova area di lavoro. Dopo un breve periodo di tempo, viene creata l'area di lavoro.
  • A questo punto, si dispone di un'area di lavoro, ad esempio una appena creata. Usare la procedura seguente per verificare se Microsoft Sentinel è stato aggiunto e aggiungerlo in caso contrario:
    • Passare alla pagina principale Microsoft Sentinel.
    • Se Microsoft Sentinel è già stato aggiunto all'area di lavoro, l'area di lavoro viene visualizzata nell'elenco visualizzato. Se non è stato ancora aggiunto, aggiungilo come segue.
      • Selezionare + Crea per passare alla pagina Aggiungi Microsoft Sentinel a un'area di lavoro.
      • Selezionare l'area di lavoro nell'elenco visualizzato e quindi selezionare Aggiungi nella parte inferiore della pagina. Dopo un breve periodo di tempo, Microsoft Sentinel viene aggiunto all'area di lavoro.
  • Creare un playbook nel modo seguente:
    • Passare alla pagina principale Microsoft Sentinel. Selezionare l'area di lavoro. Selezionare Automazione dal menu a sinistra per passare alla pagina Automazione. Questa pagina ha tre schede.
    • Selezionare la scheda Modelli Playbook (Anteprima)..
    • Nel campo di ricerca immettere Block Microsoft Entra user - Incident.
    • Nell'elenco dei playbook selezionare Block Microsoft Entra user - Incident e quindi selezionare Crea playbook nell'angolo inferiore destro per passare alla pagina Crea riproduzione.
    • Nella pagina Crea playbook seguire questa procedura:
      • Seleziona i valori per Sottoscrizione, Gruppo di risorse e Area dagli elenchi.
      • Immettere un valore per nome playbook se non si desidera usare il nome predefinito visualizzato.
      • Per abilitare i log, selezionare Abilita i log di diagnostica in Log Analytics.
    • Selezionare Avanti: Connessioni > per passare alla scheda Connessioni nella Crea playbook.
    • Scegliere come eseguire l'autenticazione all'interno dei componenti del playbook. È richiesta l'autenticazione per:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Microsoft 365 Outlook

      Nota

      È possibile convalidare le risorse durante la personalizzazione del playbook nella risorsa Logic App se desideri abilitarle successivamente. Per autenticare le risorse precedenti a questo punto, sono necessarie le autorizzazioni per aggiornare un utente in Microsoft Entra ID e l'utente deve avere accesso a una cassetta postale di posta elettronica e deve essere in grado di inviare messaggi di posta elettronica.

    • Selezionare Avanti: Rivedi e crea > per passare alla scheda Rivedi e crea di Crea playbook.
    • Selezionare Crea e passare alla finestra di progettazione per creare il playbook e accedere alla pagina Progettazione app per la logica.

Per ulteriori informazioni sulla creazione di app logiche, vedere Che cos'è Azure Logic Apps e Guida rapida: Creare e gestire le definizioni dei flussi di lavoro delle app logiche.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Altri contributori:

Contenuti correlati