Risposte automatizzate di Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile basata sul cloud per informazioni sulla sicurezza e gestione degli eventi (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR). Offre analisi della sicurezza intelligente per le organizzazioni di tutte le dimensioni e offre le funzionalità seguenti e altro ancora:

• Rilevamento di attacco aziendale
• Ricerca proattiva
• Risposta automatica agli eventi imprevisti

La risposta alle minacce in Microsoft Sentinel viene gestita tramite playbook. Quando viene attivato da un avviso o da un evento imprevisto, un playbook esegue una serie di azioni automatizzate per contrastare la minaccia. Questi playbook vengono creati usando App per la logica di Azure.

Microsoft Sentinel offre centinaia di playbook pronti all'uso, inclusi i playbook per gli scenari seguenti:

• Blocco di un utente di Microsoft Entra
• Blocco di un utente di Microsoft Entra in base al rifiuto tramite posta elettronica
• Pubblicazione di un messaggio in un canale di Microsoft Teams relativo a un evento imprevisto o un avviso
• Pubblicazione di un messaggio su Slack
• Invio di un messaggio di posta elettronica con i dettagli dell'evento imprevisto o dell'avviso
• Invio di un messaggio di posta elettronica con un report degli eventi imprevisti formattati
• Determinare se un utente di Microsoft Entra è a rischio
• Invio di una scheda adattiva tramite Microsoft Teams per determinare se un utente è compromesso
• Isolamento di un endpoint tramite Microsoft Defender per endpoint

Questo articolo include un esempio di implementazione di un playbook che risponde a una minaccia bloccando un utente di Microsoft Entra compromesso da attività sospette.

Potenziale caso d'uso

Le tecniche descritte in questo articolo si applicano ogni volta che è necessario implementare una risposta automatica a una condizione rilevabile.

Architettura

Scaricare un file Visio di questa architettura.

Workflow

Questo flusso di lavoro illustra i passaggi per distribuire il playbook. Assicurarsi che i prerequisiti siano soddisfatti prima di iniziare. Ad esempio, è necessario scegliere un utente di Microsoft Entra.

1. Seguire la procedura descritta in Inviare log a Monitoraggio di Azure per configurare Microsoft Entra ID per inviare i log di controllo all'area di lavoro Analisi dei log usata con Microsoft Sentinel.

   Nota

   Questa soluzione non usa i log di controllo, ma è possibile usarli per analizzare cosa accade quando l'utente viene bloccato.

2. Microsoft Entra ID Protection genera gli avvisi che attivano l'esecuzione del playbook di risposta alle minacce. Per fare in modo che Microsoft Sentinel raccolga gli avvisi, passare all'istanza di Microsoft Sentinel e selezionare Connettori dati. Cercare Microsoft Entra ID Protection e abilitare la raccolta di avvisi. Per maggiori informazioni su Azure AD Identity Protection, consultare la sezione Informazioni su Azure AD Identity Protection.

3. Installare il browser ToR in un computer o in una macchina virtuale (VM) che è possibile usare senza mettere a rischio la sicurezza IT.

4. Usare Tor Browser per accedere in modo anonimo alle app personali come utente selezionato per questa soluzione. Per istruzioni sull'uso di Tor Browser per simulare indirizzi IP anonimi, vedere Indirizzo IP anonimo.

5. Microsoft Entra autentica l'utente.

6. Microsoft Entra ID Protection rileva che l'utente ha usato un browser ToR per accedere in modo anonimo. Questo tipo di accesso è un'attività sospetta che mette a rischio l'utente. Identity Protection invia un avviso a Microsoft Sentinel.

7. Configurare Microsoft Sentinel per creare un evento imprevisto dall'avviso. Per informazioni su come eseguire questa operazione, consultare la sezione Creare automaticamente eventi imprevisti dagli avvisi di sicurezza Microsoft. Il modello di regola di analisi della sicurezza Microsoft da usare è Creare eventi imprevisti in base agli avvisi di Microsoft Entra ID Protection.

8. Quando Microsoft Sentinel attiva un evento imprevisto, il playbook risponde con azioni che bloccano l'utente.

Componenti

• Microsoft Sentinel è una soluzione SIEM e SOAR nativa del cloud. Usa l'intelligenza artificiale avanzata e l'analisi della sicurezza per rilevare e rispondere alle minacce aziendali. In Microsoft Sentinel sono disponibili molti playbook che è possibile usare per automatizzare le risposte e proteggere il sistema.
• Microsoft Entra ID è un servizio di gestione delle identità e della directory basato sul cloud che combina i servizi directory di base, la gestione degli accessi alle applicazioni e la protezione delle identità in una singola soluzione. Può essere sincronizzato con le directory locali. Il servizio di gestione delle identità fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale per proteggersi dagli attacchi alla sicurezza informatica. La soluzione illustrata in questo articolo usa Microsoft Entra identity Protect per rilevare attività sospette da un utente.
• App per la logica è un servizio cloud serverless per la creazione e l'esecuzione di flussi di lavoro automatizzati che integrano app, dati, servizi e sistemi. Gli sviluppatori possono usare una finestra di progettazione grafica per pianificare e orchestrare flussi di lavoro di attività comuni. App per la logica include connettori per molti servizi cloud diffusi , prodotti locali e altre applicazioni SaaS (Software as a Service). In questa soluzione App per la logica esegue il playbook di risposta alle minacce.

Considerazioni

• Il Well-Architected Framework di Azure è una serie di principi guida che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.
• Microsoft Sentinel offre più di 50 playbook pronti per l'uso. È possibile trovarli nella scheda Modelli di playbook nella pagina Microsoft Sentinel|Automazione per l'area di lavoro.
• GitHub include diversi playbook di Microsoft Sentinel creati dalla community.

Distribuire lo scenario

È possibile distribuire questo scenario seguendo la procedura descritta in Flusso di lavoro dopo aver verificato che i prerequisiti siano soddisfatti.

Prerequisiti

• Preparare il software e scegliere un utente di test
• Distribuire il playbook

Preparare il software e scegliere un utente di test

Per implementare e testare il playbook, sono necessari Azure e Microsoft Sentinel insieme ai seguenti elementi:

• Una licenza di Microsoft Entra ID Protection (Premium P2, E3 o E5).
• Un utente Microsoft Entra. È possibile usare un utente esistente o crearne uno nuovo. Se si crea un nuovo utente, è possibile eliminarlo al termine dell'uso.
• Un computer o una macchina virtuale in grado di eseguire un browser ToR. Si userà il browser per accedere al portale di App personali come utente di Microsoft Entra.

Distribuire il playbook

Per distribuire un playbook di Microsoft Sentinel, procedere come segue:

• Se non si ha un'area di lavoro Analisi dei log da usare per questo esercizio, crearne una nuova come indicato di seguito:
  • Passare alla pagina principale di Microsoft Sentinel e selezionare + Crea per passare alla pagina Aggiungi Microsoft Sentinel a un'area di lavoro .
  • Selezionare Crea una nuova area di lavoro. Seguire le istruzioni per creare la nuova area di lavoro. Dopo un breve periodo di tempo, viene creata l'area di lavoro.
• A questo punto, si dispone di un'area di lavoro, ad esempio una appena creata. Usare la procedura seguente per verificare se Microsoft Sentinel è stato aggiunto e aggiungerlo in caso contrario:
  • Passare alla pagina principale di Microsoft Sentinel.
  • Se Microsoft Sentinel è già stato aggiunto all'area di lavoro, l'area di lavoro viene visualizzata nell'elenco visualizzato. Se non è stato ancora aggiunto, aggiungilo come segue.
    • Selezionare + Crea per passare alla pagina Aggiungi Microsoft Sentinel a un'area di lavoro.
    • Selezionare l'area di lavoro nell'elenco visualizzato e quindi selezionare Aggiungi nella parte inferiore della pagina. Dopo un breve periodo di tempo, Microsoft Sentinel viene aggiunto all'area di lavoro.
• Creare un playbook nel modo seguente:
  • Passare alla pagina principale di Microsoft Sentinel. Selezionare l'area di lavoro. Selezionare Automazione dal menu a sinistra per passare alla pagina Automazione. Questa pagina ha tre schede.
  • Selezionare la scheda Modelli playbook (anteprima)..
  • Nel campo di ricerca, immettere Blocca l'utente di Microsoft Entra - Evento imprevisto.
  • Nell'elenco dei playbook selezionare Blocca l'utente di Microsoft Entra - Evento imprevisto e quindi selezionare Crea playbook nell'angolo in basso a destra per passare alla pagina Crea riproduzione .
  • Nella pagina Crea playbook, effettuare le seguenti operazioni:
    • Seleziona i valori per Sottoscrizione, Gruppo di risorse e Area dagli elenchi.
    • Immettere un valore per Nome playbook se non si desidera usare il nome predefinito visualizzato.
    • Se si desidera, selezionare Abilita i log di diagnostica in Analisi dei log per abilitare i log.
    • Lasciare deselezionata la casella di controllo Associa all'ambiente del servizio di integrazione.
    • Lasciare vuoto l'ambiente del servizio di integrazione.
  • Selezionare Avanti: Connessioni > per passare alla scheda Connessioni del playbook Crea.
  • Scegliere come eseguire l'autenticazione all'interno dei componenti del playbook. È richiesta l'autenticazione per:
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    Nota

    È possibile autenticare le risorse durante la personalizzazione del playbook nella risorsa dell'app per la logica se si vuole abilitare in un secondo momento. Per autenticare le risorse precedenti a questo punto, è necessario disporre delle autorizzazioni per aggiornare un utente nell'ID Microsoft Entra e l'utente deve avere accesso a una cassetta postale di posta elettronica e deve essere in grado di inviare messaggi di posta elettronica.

  • Selezionare Avanti: Rivedi e crea > per accedere alla scheda Rivedi e crea di Crea playbook.
  • Selezionare Crea e passare alla finestra di progettazione per creare il playbook e accedere alla pagina Progettazione app per la logica.

Per maggiori informazioni sulla creazione di app per la logica, consultare la sezione Informazioni su App per la logica di Azure e Avvio rapido: Creare e gestire le definizioni del flusso di lavoro delle app per la logica.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Rudnei Oliveira | Senior Azure Security Engineer

Altri contributori:

• Andrew Nathan | Senior Customer Engineering Manager
• Lavanya Kasturi | Writer tecnico

Passaggi successivi

• Panoramica di Servizi Cloud di Azure
• Che cos'è Microsoft Azure Sentinel?
• Orchestrazione della sicurezza, automazione e risposta (SOAR) in Microsoft Sentinel.
• Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
• Cos'è Microsoft Entra ID?
• Informazioni su Identity Protection
• Simulazione dei rilevamenti dei rischi in Identity Protection
• Cosa sono le app per la logica di Azure?
• Tutorial: Creare flussi di lavoro automatizzati basati su approvazione tramite App per la logica di Azure
• Introduzione a Microsoft Sentinel

Risorsa correlata

• Progettazione dell'architettura di sicurezza