Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I team siem (Security Information and Event Management) e SOC (Security Operations Center) sono in genere inondati di avvisi di sicurezza e eventi imprevisti a intervalli regolari, a volumi così elevati che il personale disponibile viene sovraccaricato. Ciò si verifica troppo spesso in situazioni in cui molti avvisi vengono ignorati e molti eventi imprevisti non vengono indagati, lasciando l'organizzazione vulnerabile agli attacchi che passano inosservati.
Microsoft Sentinel, oltre ad essere un sistema SIEM, è anche una piattaforma per l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR). Uno dei suoi scopi principali è quello di automatizzare eventuali attività ricorrenti e prevedibili di arricchimento, risposta e correzione che sono responsabilità del centro operativo di sicurezza e del personale (SOC/SecOps), liberando tempo e risorse per un'analisi più approfondita delle minacce avanzate e la ricerca di minacce avanzate.
Questo articolo descrive le funzionalità SOAR di Microsoft Sentinel e illustra come l'uso di regole di automazione e playbook in risposta alle minacce alla sicurezza aumenta l'efficacia del soc e consente di risparmiare tempo e risorse.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Regole di automazione
Microsoft Sentinel usa le regole di automazione per consentire agli utenti di gestire l'automazione della gestione degli eventi imprevisti da una posizione centrale. Usare le regole di automazione per:
- Assegnare automazione più avanzata a eventi imprevisti e avvisi usando playbook
- Contrassegna, assegna o chiudi automaticamente gli eventi imprevisti senza un playbook
- Automatizzare le risposte per più regole di analisi contemporaneamente
- Creare elenchi di attività da eseguire per gli analisti durante la valutazione, l'analisi e la correzione degli eventi imprevisti
- Controllare l'ordine delle azioni eseguite
È consigliabile applicare regole di automazione quando gli eventi imprevisti vengono creati o aggiornati per semplificare ulteriormente l'automazione e semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.
Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.
Playbook
Un playbook è una raccolta di azioni di risposta e correzione e logica che possono essere eseguite da Microsoft Sentinel come routine. Un playbook può:
- Automatizzare e orchestrare la risposta alle minacce
- Integrazione con altri sistemi, sia interni che esterni
- Essere configurati per l'esecuzione automatica in risposta ad avvisi o eventi imprevisti specifici o per l'esecuzione manuale su richiesta, ad esempio in risposta a nuovi avvisi
In Microsoft Sentinel, i playbook si basano sui flussi di lavoro incorporati Azure App per la logica, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. Ciò significa che i playbook possono sfruttare tutta la potenza e la personalizzazione delle funzionalità di integrazione e orchestrazione di App per la logica e degli strumenti di progettazione facili da usare, nonché la scalabilità, l'affidabilità e il livello di servizio di un servizio di Azure di livello 1.
Per altre informazioni, vedere Automatizzare la risposta alle minacce con i playbook in Microsoft Sentinel.
Automazione nel portale di Microsoft Defender
Prendere nota dei dettagli seguenti sul funzionamento dell'automazione per Microsoft Sentinel nel portale di Defender. Se si è un cliente esistente che sta passando dal portale di Azure al portale di Defender, è possibile notare differenze nel modo in cui funziona l'automazione nell'area di lavoro dopo l'onboarding nel portale di Defender.
| Funzionalità | Descrizione |
|---|---|
| Regole di automazione con trigger di avviso | Nel portale di Defender le regole di automazione con trigger di avviso agiscono solo sugli avvisi Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione di avvisi. |
| Regole di automazione con trigger di eventi imprevisti | Sia nel portale di Azure che nel portale di Defender, la proprietà condizione del provider di eventi imprevisti viene rimossa, in quanto tutti gli eventi imprevisti hanno Microsoft XDR come provider di eventi imprevisti (il valore nel campo ProviderName). A quel punto, tutte le regole di automazione esistenti vengono eseguite in eventi imprevisti Microsoft Sentinel e Microsoft Defender XDR, inclusi quelli in cui la condizione del provider di eventi imprevisti è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome di regola di analisi specifico vengono eseguite solo in caso di eventi imprevisti che contengono avvisi creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione del nome della regola di analisi in una regola di analisi che esiste solo in Microsoft Sentinel per limitare l'esecuzione della regola in caso di eventi imprevisti solo in Microsoft Sentinel. Inoltre, dopo l'onboarding nel portale di Defender, la tabella SecurityIncident non include più un campo Descrizione . Quindi: - Se si usa questo campo Descrizione come condizione per una regola di automazione con un trigger di creazione di eventi imprevisti, tale regola di automazione non funzionerà dopo l'onboarding nel portale di Defender. In questi casi, assicurarsi di aggiornare la configurazione in modo appropriato. Per altre informazioni, vedere Condizioni del trigger degli eventi imprevisti. - Se si dispone di un'integrazione configurata con un sistema di ticketing esterno, ad esempio ServiceNow, la descrizione dell'evento imprevisto non sarà presente. |
| Latenza nei trigger del playbook | Potrebbero essere necessari fino a 5 minuti prima che Microsoft Defender eventi imprevisti vengano visualizzati in Microsoft Sentinel. Se questo ritardo è presente, anche l'attivazione del playbook viene ritardata. |
| Modifiche ai nomi degli eventi imprevisti esistenti | Il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nel portale di Defender, i nomi degli eventi imprevisti esistenti potrebbero essere modificati se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è consigliabile evitare di usare i titoli degli eventi imprevisti come criteri di condizione nelle regole di automazione e suggerire invece di usare il nome di qualsiasi regola di analisi che ha creato avvisi inclusi nell'evento imprevisto e tag se è necessaria una maggiore specificità. |
| Aggiornato in base al campo | Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti. |
| Creazione di regole di automazione direttamente da un evento imprevisto | La creazione di regole di automazione direttamente da un evento imprevisto è supportata solo nel portale di Azure. Se si lavora nel portale di Defender, creare le regole di automazione da zero dalla pagina Automazione . |
| Regole di creazione di eventi imprevisti Microsoft | Le regole di creazione di eventi imprevisti Microsoft non sono supportate nel portale di Defender. Per altre informazioni, vedere Microsoft Defender XDR eventi imprevisti e le regole di creazione degli eventi imprevisti Microsoft. |
| Esecuzione di regole di automazione dal portale di Defender | Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e viene creato o aggiornato un evento imprevisto nel portale di Defender a quando viene eseguita una regola di automazione. Questo ritardo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione. |
| Scheda Playbook attivi | Dopo l'onboarding nel portale di Defender, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nel portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro di sottoscrizione. Per altre informazioni, vedere Creare e personalizzare Microsoft Sentinel playbook dai modelli. |
| Esecuzione manuale dei playbook su richiesta | Le procedure seguenti non sono attualmente supportate nel portale di Defender: |
| L'esecuzione di playbook in eventi imprevisti richiede Microsoft Sentinel sincronizzazione | Se si tenta di eseguire un playbook su un evento imprevisto dal portale di Defender e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornare la schermata in pochi minuti", significa che l'evento imprevisto non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo che l'evento imprevisto è stato sincronizzato per eseguire correttamente il playbook. |
|
Eventi imprevisti: aggiunta di avvisi agli eventi imprevisti/ Rimozione di avvisi da eventi imprevisti |
Poiché l'aggiunta di avvisi o la rimozione di avvisi da eventi imprevisti non è supportata dopo l'onboarding dell'area di lavoro nel portale di Defender, queste azioni non sono supportate anche dai playbook. Per altre informazioni, vedere Informazioni su come vengono correlati gli avvisi e gli eventi imprevisti uniti nel portale di Defender. |
| integrazione Microsoft Defender XDR in più aree di lavoro | Se sono stati integrati dati XDR con più aree di lavoro in un singolo tenant, i dati verranno inseriti solo nell'area di lavoro primaria nel portale di Defender. Trasferire le regole di automazione nell'area di lavoro pertinente per mantenerle in esecuzione. |
| Automazione e motore di correlazione | Il motore di correlazione può combinare avvisi da più segnali in un singolo evento imprevisto, il che potrebbe comportare la ricezione di dati non anticipati da parte dell'automazione. È consigliabile esaminare le regole di automazione per assicurarsi di visualizzare i risultati previsti. |