Creare e personalizzare playbook di Microsoft Sentinel dai modelli
Un modello di playbook è un flusso di lavoro di automazione predefinito, testato e pronto per l'uso per Microsoft Sentinel che può essere personalizzato per soddisfare le proprie esigenze. I modelli possono anche fungere da riferimento per le procedure consigliate quando si sviluppano playbook da zero, o come ispirazione per i nuovi scenari di automazione.
I modelli di playbook non sono playbook attivi veri e propri, ed è necessario creare una copia modificabile in base alle proprie esigenze.
Molti modelli di playbook sono sviluppati dalla community di Microsoft Sentinel, dai fornitori di software indipendenti (ISV) e dagli esperti Microsoft, in base a scenari di automazione diffusi usati dai centri di operazioni per la sicurezza in tutto il mondo.
Importante
I modelli di playbook sono attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Per creare e gestire playbook, è necessario accedere a Microsoft Sentinel con uno dei ruoli di Azure seguenti:
- Collaboratore app per la logica, per modificare e gestire le app per la logica
- Operatore app per la logica, per leggere, abilitare e disabilitare le app per la logica
Per altre informazioni, vedere Prerequisiti dei playbook Microsoft Sentinel.
È consigliabile leggere App per la logica di Azure per i playbook di Microsoft Sentinel prima di creare il playbook.
Accedere ai modelli di playbook
Accedere ai modelli di playbook dalle origini seguenti:
Ufficio | Descrizione |
---|---|
Pagina Automazione di Microsoft Sentinel | Nella scheda Modelli di playbook sono elencati tutti i playbook installati. Creare uno o più playbook attivi usando lo stesso modello. Quando si pubblica una nuova versione di un modello, tutti i playbook attivi creati da tale modello hanno un'etichetta aggiuntiva aggiunta nella scheda Playbook attivi per indicare che è disponibile un aggiornamento. |
Pagina Hub dei contenuti di Microsoft Sentinel | I modelli di playbook sono disponibili come parte delle soluzioni di prodotto o del contenuto autonomo installato dall'hub contenuti. Per altre informazioni, vedere: Informazioni sui contenuti e le soluzioni di Microsoft Sentinel Scoprire e gestire contenuti predefiniti di Microsoft Sentinel |
GitHub | Il repository GitHub di Microsoft Sentinel contiene molti altri modelli di playbook. Selezionare Distribuisci in Azure per distribuire un modello nella propria sottoscrizione di Azure. |
Tecnicamente, un modello di playbook è un modello di Azure Resource Manager (ARM), costituito da diverse risorse: un flusso di lavoro di App per la logica di Azure e connessioni API per ogni connessione interessata.
Questo articolo è incentrato sulla distribuzione di un modello di playbook dalla scheda Modelli di playbook in Automazione.
Esplorare i modelli di playbook
Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Gestione dei contenuti>Hub contenuti. Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.
Nella pagina Hub contenuti, selezionare Tipo di contenuto per filtrare per Playbook. Questa visualizzazione filtrata elenca tutte le soluzioni e i contenuti autonomi che includono uno o più modelli di playbook. Installare la soluzione o il contenuto autonomo per ottenere il modello.
Quindi, selezionare la scheda Configurazione>Automazione>Modelli playbook per visualizzare i modelli installati. Ad esempio:
Per trovare un modello di playbook che soddisfi i requisiti, filtrare l'elenco in base ai criteri seguenti:
Filtro | Descrizione |
---|---|
Trigger | Filtrare in base alla modalità di attivazione del playbook, inclusi incidenti, avvisi o entità. Per altre informazioni, vedere Trigger di Microsoft Sentinel supportati. |
Connettori di App per la logica | Filtrare in base ai servizi esterni con cui interagiscono i playbook. Durante il processo di distribuzione, ogni connettore deve presupporre un'identità per eseguire l'autenticazione al servizio esterno. |
Entità | Filtrare in base ai tipi di entità previsti dal playbook in caso di incidente. Ad esempio, un playbook che indica a un firewall di bloccare un indirizzo IP prevede di trovare indirizzi IP nell'incidente. Tali incidenti possono essere creati da una regola di analisi per gli attacchi di forza bruta. |
Tag | Filtrare in base alle etichette applicate al playbook, correlare il playbook a uno scenario specifico o indicare una caratteristica speciale. Ad esempio: - Arricchimento: i playbook che recuperano informazioni da un altro servizio per aggiungere contesto a un incidente. Queste informazioni vengono in genere aggiunte come commento all'incidente o inviate al SOC. - Correzione: i playbook che eseguono un'azione sulle entità interessate per eliminare una potenziale minaccia. - Sincronizzazione: playbook che consente di mantenere un servizio esterno, ad esempio un servizio di gestione degli incidenti, aggiornato con le proprietà dell'incidente. - Notifica: i playbook che inviano un messaggio o un'e-mail. - Risposta da Teams: i playbook che consentono agli analisti di eseguire un'azione manuale da Teams usando schede interattive. |
Ad esempio:
Personalizzare un playbook da un modello
Questa procedura descrive come distribuire modelli di playbook e può essere ripetuta per creare più playbook dallo stesso modello.
Anche se la maggior parte dei modelli di playbook possono essere usata così come sono, è consigliabile modificarli in base alle proprie esigenze SOC.
Nella scheda Modelli playbook, selezionare un playbook da cui iniziare.
Se il playbook presenta prerequisiti, assicurarsi di seguire le istruzioni. Ad esempio:
Alcuni playbook richiamano altri playbook come azioni. Questo secondo playbook viene definito playbook annidato. In questo caso, uno dei prerequisiti consiste nel distribuire prima il playbook annidato.
Alcuni playbook richiedono la distribuzione di un connettore di app per la logica personalizzato o di una funzione di Azure. In questi casi, è disponibile un collegamento Distribuisci su Azure che consente di accedere al processo di distribuzione generale dei modelli di ARM.
Selezionare Crea playbook per aprire la procedura guidata di creazione del playbook in base al modello selezionato. La procedura guidata include quattro schede:
Dati principali: individuare il nuovo playbook, ovvero una risorsa di app per la logica, e assegnargli un nome. È possibile usare il valore predefinito. Ad esempio:
Parametri: immettere i valori specifici del cliente usati dal playbook. Ad esempio, se il playbook invia un messaggio di posta elettronica al SOC, definire l'indirizzo del destinatario. Se il playbook ha un connettore personalizzato in uso, deve essere distribuito nello stesso gruppo di risorse e viene richiesto di immetterne il nome nella scheda Parametri.
La scheda Parametri viene visualizzata solo se il playbook contiene parametri. Ad esempio:
Connessioni: espandere ogni azione per visualizzare le connessioni esistenti create per i playbook precedenti. È possibile scegliere di usare connessioni esistenti o crearne una nuova. Ad esempio:
Per creare una nuova connessione, selezionare Crea nuova connessione dopo la distribuzione. Questa opzione consente di visualizzare la finestra di progettazione di App per la logica al termine del processo di distribuzione.
I connettori personalizzati sono elencati in base al nome del connettore personalizzato immesso nella scheda Parametri.
Per i connettori che supportano la connessione con identità gestita, ad esempio Microsoft Sentinel, l'identità gestita è il metodo di connessione predefinito.
Per altre informazioni, vedere Autenticare i playbook in Microsoft Sentinel.
Rivedi e crea: visualizzare un riepilogo del processo e attendere la convalida dell'input prima di creare il playbook.
Dopo aver seguito i passaggi della creazione guidata del playbook fino alla fine, viene visualizzata la progettazione del flusso di lavoro del nuovo playbook nella finestra di progettazione di App per la logica. Ad esempio:
Per ogni connettore scelto, creare una nuova connessione per la fase successiva alla distribuzione:
Dal menu di spostamento, selezionare Connessioni API, quindi selezionare il nome della connessione. Ad esempio:
Selezionare Modifica connessione API dal menu di spostamento.
Compilare i parametri obbligatori e selezionare Salva. Ad esempio:
In alternativa, creare una nuova connessione dall'interno dei passaggi pertinenti nella finestra di progettazione di App per la logica:
Per ogni passaggio visualizzato con un segno di errore, selezionarlo per espanderlo, quindi selezionare Aggiungi nuovo.
Eseguire l'autenticazione in base alle istruzioni pertinenti. Per altre informazioni, vedere Autenticare i playbook in Microsoft Sentinel.
Se sono presenti altri passaggi che usano lo stesso connettore, espandere le relative caselle. Nell'elenco di connessioni visualizzate, selezionare la connessione appena creata.
Se si è scelto di usare una connessione di identità gestita per Microsoft Sentinel o per altre connessioni supportate, assicurarsi di concedere le autorizzazioni al nuovo playbook nell'area di lavoro di Microsoft Sentinel o nelle risorse di destinazione pertinenti per altri connettori.
Salvare il playbook. Il playbook viene visualizzato nella scheda Playbook attivi.
Per eseguire il playbook, impostare una risposta automatica o eseguirla manualmente. Per altre informazioni, vedere Rispondere alle minacce con i playbook di Microsoft Sentinel.
Segnalare un problema in un modello di playbook
Per segnalare un bug o richiedere un miglioramento per un playbook, selezionare il collegamento Supportato da nel riquadro dei dettagli del playbook. Se si tratta di un playbook supportato dalla community, il collegamento consente di aprire un problema in GitHub. In caso contrario, si viene indirizzati alla pagina del supporto, con informazioni su come inviare il feedback.