Creare attività di incidenti in Microsoft Sentinel usando le regole di automazione
Questo articolo illustra come usare le regole di automazione per creare elenchi di attività di incidenti per standardizzare i processi del flusso di lavoro analista in Microsoft Sentinel.
Le attività di incidenti possono essere create automaticamente non solo dalle regole di automazione, ma anche dai playbook e manualmente, ad hoc, dall'interno di un incidente.
Casi d'uso per ruoli diversi
Questo articolo illustra gli scenari seguenti che si applicano ai responsabili SOC, agli analisti senior e agli ingegneri di automazione:
- Visualizzare le regole di automazione con le azioni delle attività di incidenti
- Aggiungere attività agli incidenti con regole di automazione
Un altro scenario di questo tipo è affrontato nell'articolo complementare seguente:
Un altro articolo, nei collegamenti seguenti, illustra gli scenari che si applicano maggiormente agli analisti SOC:
- Visualizzare e seguire le attività degli incidenti
- Aggiungere manualmente un'attività ad hoc a un incidente
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Il ruolo Risponditore di Microsoft Sentinel è necessario per creare regole di automazione e per visualizzare e modificare gli incidenti, entrambi necessari per aggiungere, visualizzare e modificare le attività.
Visualizzare le regole di automazione con le azioni delle attività degli incidenti
Nella pagina Automazione, è possibile filtrare la visualizzazione delle regole di automazione per visualizzare solo quelle con le azioni Aggiungi attività definite.
Selezionare il filtro Azioni.
Deselezionare la casella di controllo Seleziona tutto.
Scorrere verso il basso e selezionare la casella di controllo Aggiungi attività.
Selezionare OKe visualizzare i risultati.
Si tratta delle regole di automazione che aggiungono attività agli incidenti. La colonna Nomi della regola di analisi indica le regole di analisi per cui queste regole di automazione sono condizionali, quindi si avrà un'idea generale degli incidenti interessati.
Nota
Per sapere esattamente se una regola di automazione verrà applicata a un incidente specifico, è necessario aprire la regola per verificare se sono definite condizioni aggiuntive, oltre alla condizione della regola di analisi. Se vengono definite altre condizioni, l'ambito degli incidenti interessati verrà ristretto di conseguenza.
Aggiungi attività agli eventi imprevisti con regole di automazione
Nella pagina Automazione, selezionare + Crea e selezionare Regola di automazione.
Il pannello Crea nuova regola di automazione verrà aperto sul lato destro.
Assegnare alla regola di automazione un nome che descrive le operazioni che esegue.Selezionare Quando viene creato un incidente come trigger (è anche possibile usare Quando viene aggiornato l'incidente).
Aggiungere Condizioni per determinare a quali incidenti verranno aggiunte nuove attività.
Ad esempio, filtrare in base al Nome della regola di analisi:
È possibile aggiungere attività agli incidenti in base ai tipi di minacce rilevate da una regola di analisi o da un gruppo di regole di analisi che devono essere gestite in base a un determinato flusso di lavoro. Cercare e selezionare le regole di analisi pertinenti nell'elenco a discesa.
In alternativa, è possibile aggiungere attività rilevanti per gli incidenti in tutti i tipi di minacce (in questo caso lasciare invariata la selezione predefinita Tutti).
In entrambi i casi, è possibile aggiungere altre condizioni per restringere l'ambito degli incidenti a cui verrà applicata la regola di automazione. Altre informazioni sull'aggiunta di condizioni avanzate alle regole di automazione.
Un aspetto da considerare è che l'ordine in cui le attività vengono visualizzate nell'incidente è determinato dal tempo di creazione delle attività. Puoi impostare l'ordine delle regole di automazione, in modo che le regole che aggiungono attività necessarie per tutti gli eventi imprevisti vengano eseguite per prime e solo in seguito tutte le regole che aggiungono attività necessarie per gli eventi imprevisti generati da regole di analisi specifiche.
In Azioni, selezionare Aggiungi attività.
Per ogni attività immettere, un titolo nel campo Titolo attività, quindi (facoltativamente) selezionare + Aggiungi descrizione per aprire un campo di descrizione.
Solo i titoli delle attività vengono visualizzati per impostazione predefinita nel pannello dell'elenco attività dell'incidente. La descrizione di un'attività viene visualizzata solo quando l'elemento dell'attività viene espanso.Nel campo della descrizione, è possibile aggiungere una descrizione in formato libero per l'attività, incluse immagini, collegamenti e formattazione RTF (vedere i collegamenti ipertestuali, gli elenchi numerati e il testo formattato in blocchi di codice negli esempi seguenti).
Aggiungere altre attività allo stesso gruppo di incidenti selezionando + Aggiungi azione e ripetendo gli ultimi tre passaggi.
Le attività verranno create e aggiunte all'incidente in base all'ordine delle azioni Aggiungi attività nella regola di automazione.
Completare la creazione della regola di automazione completando i passaggi rimanenti, Scadenza della regola e Ordine, e selezionando Applica alla fine. Per altri dettagli, vedere Creare e usare regole di automazione di Microsoft Sentinel per gestire le risposte.
Per quanto riguarda l'impostazione Ordine: l'ordine in cui le attività vengono visualizzate negli incidenti dipende da due elementi:
- L'ordine di esecuzione delle regole di automazione, come determinato dal numero nell'impostazione Ordine e...
- L'ordine delle azioni Aggiungi attivitàdefinite all'interno di ogni regola di automazione.
Passaggi successivi
- Altre informazioni sulle attività degli incidenti.
- Altre informazioni su come analizzare gli incidenti.
- Informazioni su come aggiungere attività a gruppi di incidenti automaticamente usando i playbook.
- Informazioni su come usare le attività per gestire il flusso di lavoro degli incidenti in Microsoft Sentinel.
- Altre informazioni sulle regole di automazione e su come crearle.