Creare e usare regole di automazione Microsoft Sentinel per gestire la risposta

Questo articolo illustra come creare e usare regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce, al fine di ottimizzare l'efficienza e l'efficacia del soc.

In questo articolo si apprenderà come definire i trigger e le condizioni che determinano quando viene eseguita la regola di automazione, le varie azioni che è possibile eseguire la regola e le funzionalità e le funzionalità rimanenti.

Progettare la regola di automazione

Prima di creare la regola di automazione, è consigliabile determinarne l'ambito e la progettazione, inclusi il trigger, le condizioni e le azioni che costituiscono la regola.

Determinare l'ambito

Il primo passaggio per la progettazione e la definizione della regola di automazione consiste nell'individuare gli eventi imprevisti o gli avvisi a cui si vuole applicare la regola. Questa determinazione influisce direttamente sul modo in cui si crea la regola.

Si vuole anche determinare il caso d'uso. Cosa si sta cercando di ottenere con questa automazione? Si considerino le opzioni seguenti:

• Creare attività che gli analisti devono seguire per valutare, analizzare e correggere gli eventi imprevisti.
• Eliminare gli eventi imprevisti rumorosi. In alternativa, usare altri metodi per gestire i falsi positivi in Microsoft Sentinel.
• Valutare i nuovi eventi imprevisti modificandone lo stato da Nuovo a Attivo e assegnando un proprietario.
• Contrassegnare gli eventi imprevisti per classificarli.
• Inoltrare un evento imprevisto assegnando un nuovo proprietario.
• Chiudere gli eventi imprevisti risolti, specificando un motivo e aggiungendo commenti.
• Analizzare il contenuto dell'evento imprevisto (avvisi, entità e altre proprietà) e intraprendere ulteriori azioni chiamando un playbook.
• Gestire o rispondere a un avviso senza un evento imprevisto associato.

Determinare il trigger

Si vuole attivare questa automazione quando vengono creati nuovi eventi imprevisti o avvisi? O ogni volta che un evento imprevisto viene aggiornato?

Le regole di automazione vengono attivate quando viene creato o aggiornato un evento imprevisto o quando viene creato un avviso. Tenere presente che gli eventi imprevisti includono avvisi e che sia gli avvisi che gli eventi imprevisti possono essere creati dalle regole di analisi, di cui esistono diversi tipi, come illustrato in Rilevamento delle minacce in Microsoft Sentinel.

La tabella seguente illustra i diversi scenari possibili che causano l'esecuzione di una regola di automazione.

Creare la regola di automazione

La maggior parte delle istruzioni seguenti si applica a tutti i casi d'uso per i quali si creeranno regole di automazione.

Se si sta cercando di eliminare gli eventi imprevisti rumorosi e si lavora nel portale di Azure, provare a gestire i falsi positivi.

Per creare una regola di automazione da applicare a una regola di analisi specifica, vedere Impostare risposte automatizzate e creare la regola.

Per creare la regola di automazione:

1. Per Microsoft Sentinel nel portale di Azure selezionare la pagina Automazione configurazione>. Per Microsoft Sentinel nel portale di Defender selezionare Microsoft Sentinel>Automazione configurazione>.

2. Nella pagina Automazione del menu di spostamento Microsoft Sentinel selezionare Crea dal menu in alto e scegliere Regola di automazione.

   • Portale di Defender
   • Portale di Azure

   

3. Verrà aperto il pannello Crea nuova regola di automazione . Nel campo Nome regola di automazione immettere un nome per la regola.

Scegliere il trigger

Nell'elenco a discesa Trigger selezionare il trigger appropriato in base alla circostanza per cui si sta creando la regola di automazione: quando viene creato l'evento imprevisto, quando l'evento imprevisto viene aggiornato o quando viene creato un avviso.

Definire le condizioni

Usare le opzioni nell'area Condizioni per definire le condizioni per la regola di automazione. Tutte le condizioni non fanno distinzione tra maiuscole e minuscole.

• Le regole create per quando viene creato un avviso supportano solo la proprietà If Analytic rule name nella condizione. Selezionare se si vuole che la regola sia inclusiva (Contiene) o esclusiva (Non contiene) e quindi selezionare il nome della regola analitica nell'elenco a discesa.

  I valori dei nomi delle regole analitiche includono solo le regole di analisi e non includono altri tipi di regole, ad esempio le regole di intelligence sulle minacce o anomalie.

• Le regole create per quando viene creato o aggiornato un evento imprevisto supportano un'ampia gamma di condizioni, a seconda dell'ambiente. Queste opzioni iniziano con l'onboarding Microsoft Sentinel nel portale di Defender:

  • Onboarding nel portale di Defender
  • Non è stato caricato nel portale di Defender

  Se l'area di lavoro è stata caricata nel portale di Defender, iniziare selezionando uno degli operatori seguenti, nella Azure o nel portale di Defender:

  • AND: singole condizioni valutate come gruppo. La regola viene eseguita se vengono soddisfatte tutte le condizioni di questo tipo.

    Per usare l'operatore AND , selezionare l'espansore + Aggiungi e scegliere Condizione (E) dall'elenco a discesa. L'elenco delle condizioni viene popolato dai campi delle proprietà dell'evento imprevisto e delle proprietà dell'entità .

  • OR (noto anche come gruppi di condizioni): gruppi di condizioni, ognuno dei quali viene valutato in modo indipendente. La regola viene eseguita se uno o più gruppi di condizioni sono true. Per informazioni su come usare questi tipi complessi di condizioni, vedere Aggiungere condizioni avanzate alle regole di automazione.

  Ad esempio:

  

  Se è stata selezionata l'opzione Quando un evento imprevisto viene aggiornato come trigger, iniziare definendo le condizioni e quindi aggiungendo altri operatori e valori in base alle esigenze.

Per definire le condizioni:

1. Selezionare una proprietà dalla prima casella a discesa a sinistra. È possibile iniziare a digitare qualsiasi parte del nome di una proprietà nella casella di ricerca per filtrare dinamicamente l'elenco, in modo da trovare rapidamente ciò che si sta cercando.

   

2. Selezionare un operatore dalla casella a discesa successiva a destra.

   L'elenco di operatori tra cui è possibile scegliere varia in base al trigger e alla proprietà selezionati. Quando si usa il portale di Defender, è consigliabile usare la condizione del nome della regola di analisi anziché un titolo dell'evento imprevisto.

   Condizioni disponibili con il trigger di creazione

   Proprietà	Set di operatori
   - Titolo - Descrizione - Tutte le proprietà delle entità elencate   (vedere le proprietà di entità supportate)	- Uguale/Non uguale - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con
   - Tag (vedere singoli vs. raccolta)	Qualsiasi singolo tag: - Uguale/Non uguale - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con Raccolta di tutti i tag: - Contiene/Non contiene
   - Gravità - Stato - Chiave dettagli personalizzata	- Uguale/Non uguale
   - Tattiche - Avvisare i nomi dei prodotti - Valore dei dettagli personalizzati - Nome regola analitica	- Contiene/Non contiene

   Condizioni disponibili con il trigger di aggiornamento

   Proprietà	Set di operatori
   - Titolo - Descrizione - Tutte le proprietà delle entità elencate   (vedere le proprietà di entità supportate)	- Uguale/Non uguale - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con
   - Tag (vedere singoli vs. raccolta)	Qualsiasi singolo tag: - Uguale/Non uguale - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con Raccolta di tutti i tag: - Contiene/Non contiene
   - Tag (oltre a quello precedente) - Avvisi - Commenti	-Aggiunto
   - Gravità - Stato	- Uguale/Non uguale -Cambiato - Modificato da - Modificato in
   - Proprietario	-Cambiato. Se il proprietario di un evento imprevisto viene aggiornato tramite API, è necessario includere userPrincipalName o ObjectID affinché la modifica venga rilevata dalle regole di automazione.
   - Aggiornato da - Chiave dettagli personalizzata	- Uguale/Non uguale
   - Tattiche	- Contiene/Non contiene -Aggiunto
   - Avvisare i nomi dei prodotti - Valore dei dettagli personalizzati - Nome regola analitica	- Contiene/Non contiene

   Condizioni disponibili con il trigger di avviso

   L'unica condizione che può essere valutata dalle regole in base al trigger di creazione degli avvisi è che Microsoft Sentinel regola di analisi ha creato l'avviso.

   Le regole di automazione basate sul trigger di avviso vengono eseguite solo sugli avvisi creati da Microsoft Sentinel.

3. Immettere un valore nel campo a destra. A seconda della proprietà scelta, questa potrebbe essere una casella di testo o un elenco a discesa in cui si seleziona da un elenco chiuso di valori. È anche possibile aggiungere diversi valori selezionando l'icona dei dadi a destra della casella di testo.

   

Anche in questo caso, per impostare condizioni Or complesse con campi diversi, vedere Aggiungere condizioni avanzate alle regole di automazione.

Condizioni basate sui tag

È possibile creare due tipi di condizioni in base ai tag:

• Condizioni con i singoli operatori di tag valutano il valore specificato in base a ogni tag della raccolta. La valutazione è vera quando almeno un tag soddisfa la condizione.
• Le condizioni con la raccolta di tutti gli operatori di tag valutano il valore specificato rispetto alla raccolta di tag come singola unità. La valutazione è vera solo se l'insieme nel suo complesso soddisfa la condizione.

Per aggiungere una di queste condizioni in base ai tag di un evento imprevisto, seguire questa procedura:

1. Creare una nuova regola di automazione come descritto in precedenza.

2. Aggiungere una condizione o un gruppo di condizioni.

3. Selezionare Tag nell'elenco a discesa delle proprietà.

4. Selezionare l'elenco a discesa operatori per visualizzare gli operatori disponibili tra cui scegliere.

   • Aree di lavoro sottoposte a onboarding
   • Aree di lavoro non sottoposte a onboarding

   

   Vedere come gli operatori sono divisi in due categorie, come descritto in precedenza. Scegliere attentamente l'operatore in base alla modalità di valutazione dei tag.

   Per altre informazioni, vedere Tag property: individual vs. collection.

Condizioni basate su dettagli personalizzati

È possibile impostare il valore di un dettaglio personalizzato indicato in un evento imprevisto come condizione di una regola di automazione. Tenere presente che i dettagli personalizzati sono punti dati nei record del log eventi non elaborati che possono essere visualizzati e visualizzati negli avvisi e negli eventi imprevisti generati da essi. Usare i dettagli personalizzati per accedere al contenuto pertinente effettivo negli avvisi senza dover esaminare i risultati delle query.

Limitazione nota: quando si usano valori di dettaglio personalizzati, l'operatore Non contiene potrebbe non riuscire a valutare correttamente quando sono presenti più valori distinti (due o più).

Per aggiungere una condizione basata su un dettaglio personalizzato:

1. Creare una nuova regola di automazione come descritto in precedenza.

2. Aggiungere una condizione o un gruppo di condizioni.

3. Selezionare Chiave dettagli personalizzata nell'elenco a discesa delle proprietà. Selezionare Uguale o Non uguale nell'elenco a discesa operatori.

   Per la condizione dei dettagli personalizzati, i valori nell'ultimo elenco a discesa provengono dai dettagli personalizzati visualizzati in tutte le regole di analisi elencate nella prima condizione. Selezionare i dettagli personalizzati da usare come condizione.

   

4. È stato scelto il campo da valutare per questa condizione. Specificare ora il valore visualizzato in tale campo che fa in modo che questa condizione restituisca true.
   Selezionare + Aggiungi condizione elemento.

   

   La riga della condizione del valore viene visualizzata di seguito.

   

5. Selezionare Contiene o Non contiene dall'elenco a discesa operatori. Nella casella di testo a destra immettere il valore per il quale si vuole che la condizione restituisca true.

   

In questo esempio, se l'evento imprevisto ha il dettaglio personalizzato DestinationEmail e se il valore di tale dettaglio è pwned@bad-botnet.com, verranno eseguite le azioni definite nella regola di automazione.

Aggiungere azioni

Scegliere le azioni da eseguire per questa regola di automazione. Le azioni disponibili includono Assegna proprietario, Modifica stato, Modifica gravità, Aggiungi tag ed Esegui playbook. È possibile aggiungere quante azioni si desidera.

A seconda dell'azione scelta, compilare i campi visualizzati per tale azione in base alle operazioni desiderate.

Se si aggiunge un'azione Esegui playbook , viene richiesto di scegliere dall'elenco a discesa dei playbook disponibili.

• Solo i playbook che iniziano con il trigger dell'evento imprevisto possono essere eseguiti dalle regole di automazione usando uno dei trigger di evento imprevisto, quindi vengono visualizzati solo nell'elenco. Analogamente, solo i playbook che iniziano con il trigger di avviso sono disponibili nelle regole di automazione usando il trigger di avviso.

• Microsoft Sentinel devono essere concesse autorizzazioni esplicite per eseguire playbook. Se un playbook non è disponibile nell'elenco a discesa, significa che Sentinel non dispone delle autorizzazioni per accedere al gruppo di risorse del playbook. Per assegnare le autorizzazioni, selezionare il collegamento Gestisci autorizzazioni playbook .

  Nel pannello Gestisci autorizzazioni visualizzato contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica.

  

  È necessario disporre delle autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si vogliono concedere le autorizzazioni Microsoft Sentinel ed è necessario disporre del ruolo collaboratore Microsoft Sentinel automazione in qualsiasi gruppo di risorse contenente playbook da eseguire.

• Se non si dispone ancora di un playbook che esegue l'azione desiderata, creare un nuovo playbook. È necessario uscire dal processo di creazione delle regole di automazione e riavviarlo dopo aver creato il playbook.

Spostare le azioni

È possibile modificare l'ordine delle azioni nella regola anche dopo averle aggiunte. Selezionare le frecce blu su o giù accanto a ogni azione per spostarla verso l'alto o verso il basso di un passaggio.

Completare la creazione della regola

1. In Scadenza regola, se si vuole che la regola di automazione scada, impostare una data di scadenza e, facoltativamente, un'ora. In caso contrario, lasciare indefinito.

2. Il campo Ordine viene prepopolato con il numero disponibile successivo per il tipo di trigger della regola. Questo numero determina dove nella sequenza di regole di automazione (dello stesso tipo di trigger) viene eseguita questa regola. È possibile modificare il numero se si vuole che questa regola venga eseguita prima di una regola esistente.

   Per altre informazioni, vedere Note sull'ordine di esecuzione e la priorità.

3. Selezionare Applica. Fatto!

Controllare l'attività delle regole di automazione

Informazioni su quali regole di automazione potrebbero essere state eseguite per un determinato evento imprevisto. È disponibile un record completo delle cronache degli eventi imprevisti nella tabella SecurityIncident nella pagina Log del portale di Azure o nella pagina Ricerca avanzata nel portale di Defender. Usare la query seguente per visualizzare tutte le attività delle regole di automazione:

SecurityIncident
| where ModifiedBy contains "Automation"

Esecuzione delle regole di automazione

Le regole di automazione vengono eseguite in sequenza, in base all'ordine stabilito. Ogni regola di automazione viene eseguita al termine dell'esecuzione precedente. All'interno di una regola di automazione, tutte le azioni vengono eseguite in sequenza nell'ordine in cui sono definite. Per altre informazioni , vedere Note sull'ordine di esecuzione e la priorità .

Le azioni del playbook all'interno di una regola di automazione possono essere trattate in modo diverso in alcune circostanze, in base ai criteri seguenti:

Passaggi successivi

In questo documento si è appreso come usare le regole di automazione per gestire centralmente l'automazione delle risposte per Microsoft Sentinel eventi imprevisti e avvisi.

• Per informazioni su come aggiungere condizioni avanzate con OR operatori alle regole di automazione, vedere Aggiungere condizioni avanzate alle regole di automazione Microsoft Sentinel.
• Per altre informazioni sulle regole di automazione, vedere Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione
• Per altre informazioni sulle opzioni di automazione avanzate, vedere Automatizzare la risposta alle minacce con i playbook in Microsoft Sentinel.
• Per informazioni su come usare le regole di automazione per aggiungere attività agli eventi imprevisti, vedere Creare attività impreviste in Microsoft Sentinel usando le regole di automazione.
• Per eseguire la migrazione dei playbook alert-trigger da richiamare dalle regole di automazione, vedere Eseguire la migrazione dei playbook di avviso-trigger Microsoft Sentinel alle regole di automazione
• Per informazioni sull'implementazione di regole di automazione e playbook, vedere Esercitazione: Usare i playbook per automatizzare le risposte alle minacce in Microsoft Sentinel.