Condividi tramite


Creare e usare regole di automazione di Microsoft Sentinel per gestire le risposte

Questo articolo illustra come creare e usare regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce, al fine di ottimizzare l'efficienza e l'efficacia del SOC.

In questo articolo si apprenderà come definire i trigger e le condizioni che determinano quando viene eseguita la regola di automazione, le varie azioni che la regola può eseguire e le funzionalità rimanenti.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Progettare la regola di automazione

Prima di creare la regola di automazione, è consigliabile determinarne l'ambito e la progettazione, inclusi il trigger, le condizioni e le azioni che costituiscono la regola.

Determinare l'ambito

Il primo passaggio per la progettazione e la definizione della regola di automazione consiste nel capire a quali incidenti o avvisi si vuole applicare. Questa definizione influisce direttamente sulla modalità di creazione della regola.

È possibile anche determinare il caso d'uso. Cosa si sta tentando di eseguire con questa automazione? Valutare le opzioni seguenti:

  • Creare attività che gli analisti devono seguire per valutare, analizzare e correggere gli incidenti.
  • Elimina gli incidenti rumorosi. (In alternativa, usare altri metodi per gestire i falsi positivi in Microsoft Sentinel.)
  • Valutare i nuovi incidenti modificandone lo stato da Nuovo a Attivo e assegnando un proprietario.
  • Contrassegnare gli incidenti per classificarli.
  • Inoltrare un incidente assegnando un nuovo proprietario.
  • Chiudere gli incidenti risolti, specificando un motivo e aggiungendo commenti.
  • Esaminare il contenuto di un incidente (avvisi, entità e altre proprietà) e intraprendere altre azioni chiamando un playbook.
  • Gestire o rispondere a un avviso senza un incidente associato.

Determinare il trigger

Si vuole che questa automazione venga attivata quando vengono creati nuovi incidenti o avvisi? Oppure ogni volta che un incidente viene aggiornato?

Le regole di automazione vengono attivate quando viene creato o aggiornato un incidente o quando viene creato un avviso. Tenere presente che gli incidenti includono avvisi e che è possibile creare sia gli avvisi che gli incidenti dalle regole di analisi, di cui esistono diversi tipi, come illustrato in Rilevamento minacce in Microsoft Sentinel.

La tabella seguente illustra i diversi scenari possibili che causa l'esecuzione di una regola di automazione.

Tipo di trigger Eventi che causano l'esecuzione della regola
Quando viene creato un incidente Portale di Microsoft Defender:
  • Viene creato un nuovo incidente nel portale di Microsoft Defender.

    Microsoft Sentinel non è stato eseguito l'onboarding nel portale di Defender:
  • Un nuovo incidente viene creato da una regola di analisi.
  • Un incidente viene inserito da Microsoft Defender XDR.
  • Viene creato manualmente un nuovo incidente.
  • Quando viene aggiornato un incidente
  • Lo stato di un incidente viene modificato (chiuso/riaperto/triage).
  • Il proprietario di un incidente viene assegnato o modificato.
  • La gravità di un incidente viene generata o ridotta.
  • Gli avvisi vengono aggiunti a un incidente.
  • Commenti, tag o tattiche vengono aggiunti a un incidente.
  • Quando viene creato un avviso
  • Un avviso viene creato da una regola di analisi di Microsoft Sentinel pianificata o NRT.
  • Creare la regola di automazione

    La maggior parte delle istruzioni seguenti si applica a tutti i casi d'uso per i quali verranno create regole di automazione.

    Se si sta cercando di eliminare gli incidenti rumorosi, provare a gestire i falsi positivi.

    Per creare una regola di automazione da applicare a una regola di analisi specifica, vedere Impostare risposte automatiche e creare la regola.

    Per creare la regola di automazione:

    1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione . Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione .

    2. Nella pagina Automazione del menu di spostamento di Microsoft Sentinel, selezionare Crea dal menu in alto e scegliere Regola di automazione.

    3. Viene visualizzato il pannello Crea nuova regola di automazione. Nel campo Nome della regola di automazione, immettere un nome per la regola.

    Scegliere il trigger

    Dal menu a discesa Trigger, selezionare il trigger appropriato in base alla circostanza per cui si sta creando la regola di automazione: Quando viene creato l'incidente, Quando viene aggiornato l'incidente o Quando viene creato un avviso.

    Screenshot della selezione del trigger di creazione o aggiornamento degli incidenti.

    Definire le condizioni

    Usare le opzioni nell'area Condizioni per definire le condizioni per la regola di automazione.

    • Le regole create per quando viene creato un avviso supportano solo la proprietà Se il nome della regola di analisi nella condizione. Selezionare se si desidera che la regola sia inclusiva (Contiene) o esclusiva (Non contiene), quindi selezionare il nome della regola di analisi dall'elenco a discesa.

      I valori dei nomi delle regole di analisi includono solo regole di analisi e non includono altri tipi di regole, ad esempio intelligence sulle minacce o regole di anomalie.

    • Le regole create per quando un incidente viene creato o aggiornato supportano un'ampia gamma di condizioni, a seconda dell'ambiente in uso. Queste opzioni iniziano con l'onboarding dell'area di lavoro nel portale di Defender:

      Se l'area di lavoro viene eseguita l'onboarding nel portale di Defender, iniziare selezionando uno degli operatori seguenti, in Azure o nel portale di Defender:

      • E: singole condizioni valutate come gruppo. La regola viene eseguita se vengono soddisfatte tutte le condizioni di questo tipo.

        Per lavorare con l'operatore E, selezionare l'espansore + Aggiungi e scegliere la Condizione (E) dal menu a discesa. L'elenco delle condizioni viene popolato da campi proprietà entità e proprietà incidente.

      • O (noto anche come gruppi di condizioni): gruppi di condizioni, ognuno dei quali viene valutato in modo indipendente. La regola viene eseguita se uno o più gruppi di condizioni è true. Per informazioni su come usare questi tipi complessi di condizioni, vedere Aggiungere condizioni avanzate alle regole di automazione.

      Ad esempio:

      Screenshot delle condizioni delle regole di automazione durante l'onboarding dell'area di lavoro nel portale di Defender.

      Se si seleziona Quando un incidente viene aggiornato come trigger, iniziare definendo le condizioni, quindi aggiungere operatori e valori aggiuntivi in base alle esigenze.

    Per definire le condizioni:

    1. Selezionare una proprietà nella prima casella a discesa a sinistra. È possibile iniziare a digitare qualsiasi parte di un nome di proprietà nella casella di ricerca per filtrare dinamicamente l'elenco, in modo da trovare rapidamente ciò che si sta cercando.

      Screenshot della digitazione in una casella di ricerca per filtrare l'elenco delle scelte.

    2. Selezionare un operatore dalla casella a discesa successiva a destra. Screenshot della selezione di un operatore della condizione per le regole di automazione.

      L'elenco di operatori tra cui è possibile scegliere varia in base al trigger e alla proprietà selezionati.

      Condizioni disponibili con il trigger di creazione

      Proprietà Set operatore
      - Title
      - Descrizione
      - Tutte le proprietà di entità elencate
        (vedere le proprietà dell'entità supportate)
      - È uguale a/Non è uguale a
      - Contiene/Non contiene
      - Inizia con/Non inizia con
      - Termina con/Non termina con
      - Tag (vedere individuale rispetto a raccolta) Qualsiasi tag individuale:
      - È uguale a/Non è uguale a
      - Contiene/Non contiene
      - Inizia con/Non inizia con
      - Termina con/Non termina con

      Raccolta di tutti i tag:
      - Contiene/Non contiene
      - Gravità
      - Stato
      - Chiave dettagli personalizzati
      - È uguale a/Non è uguale a
      - Tattiche
      - Nomi dei prodotti per gli avvisi
      - Valore dettagli personalizzati
      - Nome della regola di analisi
      - Contiene/Non contiene

      Condizioni disponibili con il trigger di aggiornamento

      Proprietà Set operatore
      - Title
      - Descrizione
      - Tutte le proprietà di entità elencate
        (vedere le proprietà dell'entità supportate)
      - È uguale a/Non è uguale a
      - Contiene/Non contiene
      - Inizia con/Non inizia con
      - Termina con/Non termina con
      - Tag (vedere individuale rispetto a raccolta) Qualsiasi tag individuale:
      - È uguale a/Non è uguale a
      - Contiene/Non contiene
      - Inizia con/Non inizia con
      - Termina con/Non termina con

      Raccolta di tutti i tag:
      - Contiene/Non contiene
      - Tag (in aggiunta a quanto indicato sopra)
      - Avvisi
      - Commenti
      - Aggiunto
      - Gravità
      - Stato
      - È uguale a/Non è uguale a
      - Modificato
      - Modificato da
      - Modificato in
      - Proprietario - Modificato
      - Aggiornato da
      - Chiave dettagli personalizzati
      - È uguale a/Non è uguale a
      - Tattiche - Contiene/Non contiene
      - Aggiunto
      - Nomi dei prodotti per gli avvisi
      - Valore dettagli personalizzati
      - Nome della regola di analisi
      - Contiene/Non contiene

      Condizioni disponibili con il trigger di avviso

      L'unica condizione che può essere valutata dalle regole in base al trigger di creazione dell'avviso è la regola di analisi di Microsoft Sentinel che ha creato l'avviso.

      Le regole di automazione basate sul trigger di avviso sono eseguite solo sugli avvisi creati da Microsoft Sentinel.

    3. Immettere un valore nel campo a destra. A seconda della proprietà scelta, potrebbe trattarsi di una casella di testo o di un elenco a discesa in cui si seleziona da un elenco chiuso di valori. Potrebbe anche essere possibile aggiungere diversi valori selezionando l'icona a forma di dado a destra della casella di testo.

      Screenshot dell'aggiunta di valori alla condizione nelle regole di automazione.

    Anche in questo caso, per l'impostazione di condizioni O complesse con campi diversi, vedere Aggiungere condizioni avanzate alle regole di automazione.

    Condizioni basate sui tag

    È possibile creare due tipi di condizioni basate sui tag:

    • Le condizioni con operatori di Qualsiasi singolo tag valutano il valore specificato rispetto a ogni tag nella raccolta. La valutazione è true quando almeno un tag soddisfa la condizione.
    • Le condizioni con operatori Raccolta di tutti i tag controllano il valore specificato rispetto alla raccolta di tag come singola unità. La valutazione è true solo se la raccolta nel suo complesso soddisfa la condizione.

    Per aggiungere una di queste condizioni in base ai tag di un incidente, seguire questa procedura:

    1. Creare una nuova regola di automazione come descritto in precedenza.

    2. Aggiungere una condizione o un gruppo di condizioni.

    3. Selezionare Tag nell'elenco a discesa delle proprietà.

    4. Selezionare l'elenco a discesa degli operatori per visualizzare gli operatori disponibili tra cui scegliere.

      Vedere la suddivisione degli operatori in due categorie come descritto in precedenza. Scegliere attentamente l'operatore in base alla modalità di valutazione dei tag.

      Per altre informazioni, vedere la proprietà Tag: singolo e raccolta a confronto.

    Condizioni basate su dettagli personalizzati

    È possibile impostare il valore di un dettaglio personalizzato visualizzato in un incidente come condizione di una regola di automazione. Tenere presente che i dettagli personalizzati sono punti dati nei record del registro eventi non elaborati che possono essere visualizzati e mostrati negli avvisi e negli incidenti generati da essi. Usare i dettagli personalizzati per ottenere il contenuto pertinente effettivo negli avvisi senza dover esaminare i risultati della query.

    Per aggiungere una condizione in base a un dettaglio personalizzato:

    1. Creare una nuova regola di automazione come descritto in precedenza.

    2. Aggiungere una condizione o un gruppo di condizioni.

    3. Selezionare Chiave dettagli personalizzati nell'elenco a discesa delle proprietà. Selezionare Corrisponde a o Non corrisponde a dall'elenco a discesa degli operatori.

      Per la condizione dei dettagli personalizzati, i valori nell'ultimo elenco a discesa provengono dai dettagli personalizzati che sono stati visualizzati in tutte le regole di analisi elencate nella prima condizione. Selezionare i dettagli personalizzati da usare come condizione.

      Screenshot dell'aggiunta di una chiave dei dettagli personalizzati come condizione.

    4. È stato scelto il campo da valutare per questa condizione. A questo punto, specificare il valore visualizzato in tale campo che rende la valutazione di questa condizione true.
      Selezionare + Aggiungi condizione elemento.

      Screenshot della selezione della condizione di aggiunta dell'elemento per le regole di automazione.

      La riga della condizione del valore viene visualizzata di seguito.

      Screenshot del campo del valore dei dettagli personalizzati visualizzato.

    5. Selezionare Contiene o Non contiene nell'elenco a discesa degli operatori. Nella casella di testo a destra, immettere il valore che rende la valutazione di questa condizione true.

      Screenshot del campo del valore dei dettagli personalizzati compilato.

    In questo esempio, se l'incidente ha il dettaglio personalizzato DestinationEmail e se il valore di tale dettaglio è pwned@bad-botnet.com, verranno eseguite le azioni definite nella regola di automazione.

    Aggiunta di azioni

    Scegliere le azioni che si vogliono eseguire da questa regola di automazione. Le azioni disponibili includono Assegna proprietario, Cambia stato, Modifica gravità, Aggiungi tag ed Esegui playbook. È possibile aggiungere tutte le azioni desiderate.

    Nota

    Solo l'azione Esegui playbook è disponibile nelle regole di automazione usando il trigger di avviso.

    Screenshot dell'elenco di azioni da selezionare nella regola di automazione.

    Per qualsiasi azione scelta, compilare i campi visualizzati per l'azione in base alle operazioni desiderate.

    Se si aggiunge un'azione Esegui playbook, viene richiesto di scegliere dall'elenco a discesa dei playbook disponibili.

    • Solo i playbook che iniziano con il trigger dell'incidente possono essere eseguiti da regole di automazione usando uno dei trigger degli eventi imprevisti, quindi sono visualizzati solo nell'elenco. Analogamente, solo i playbook che iniziano con il trigger di avviso sono disponibili nelle regole di automazione usando il trigger di avviso.

    • A Microsoft Sentinel devono essere concesse autorizzazioni esplicite per eseguire i playbook. Se un playbook è visualizzato come non disponibile nell'elenco a discesa, significa che Sentinel non dispone delle autorizzazioni per accedere al gruppo di risorse del playbook. Selezionare il collegamento Gestire le autorizzazioni del playbook per assegnare le autorizzazioni.

      Nel pannello Gestisci autorizzazioni che si apre selezionare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e quindi Applica.

      Gestisci autorizzazioni

      È necessario avere autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario disporre del ruolo collaboratore per l'automazione di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook da eseguire.

    • Se non si dispone ancora di un playbook che esegue l'azione desiderata, crearne uno nuovo. Sarà necessario uscire dal processo di creazione delle regole di automazione e riavviarlo dopo aver creato il playbook.

    Spostare le azioni

    È possibile modificare l'ordine delle azioni nella regola anche dopo averle aggiunte. Selezionare le frecce blu su o giù accanto a ogni azione per spostarla verso l'alto o verso il basso di un livello.

    Screenshot che mostra come spostare le azioni verso l'alto o verso il basso.

    Completare la creazione della regola

    1. In Scadenza regola, se si desidera assegnare alla regola di automazione una scadenza, impostare una data di scadenza (e, facoltativamente, un orario). In caso contrario, lasciarle il valore Indefinito.

    2. Il campo Ordine viene precompilato con il numero disponibile successivo per il tipo di trigger della regola. Questo numero determina il punto della sequenza di regole di automazione (dello stesso tipo di trigger) in cui viene eseguita questa regola. È possibile modificare il numero se si desidera che questa regola venga eseguita prima di una regola esistente.

      Per altre informazioni, vedere Note sull'ordine e sulla priorità di esecuzione.

    3. Selezionare Applica. Questo è tutto.

    Screenshot dei passaggi finali della creazione della regola di automazione.

    Controllare l'attività delle regole di automazione

    È possibile trovare informazioni sulle regole di automazione che potrebbero essere state eseguite per un determinato evento imprevisto. È disponibile un record completo delle cronache degli eventi imprevisti nella tabella SecurityIncident nella pagina Log del portale di Azure o nella pagina Ricerca avanzata nel portale di Defender. Usare la query seguente per visualizzare tutte le attività delle regole di automazione:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Esecuzione delle regole di automazione

    Le regole di automazione vengono eseguite in sequenza, in base all'ordine determinato. Ogni regola di automazione viene eseguita al termine dell'esecuzione di quella precedente. All'interno di una regola di automazione, tutte le azioni vengono eseguite in sequenza nell'ordine in cui sono definite. Per altre informazioni, vedere Note sull'ordine di esecuzione e sulla priorità.

    È possibile trattare le azioni del playbook all'interno di una regola di automazione in modo diverso in alcune circostanze, in base ai criteri seguenti:

    Runtime del playbook La regola di automazione passa all'azione successiva...
    Meno di un secondo Subito dopo il completamento del playbook
    Meno di due minuti Fino a due minuti dopo l'avvio dell'esecuzione del playbook,
    ma non più di 10 secondi dopo il completamento del playbook
    Più di due minuti Due minuti dopo l'inizio dell'esecuzione del playbook,
    indipendentemente dal fatto che sia stato completato o meno

    Passaggi successivi

    In questo documento si è appreso come usare le regole di automazione per gestire centralmente l'automazione delle risposte per gli incidenti e gli avvisi di Microsoft Sentinel.