Introduzione
Oltre a essere un sistema SIEM (Security Information and Event Management, informazioni di sicurezza e gestione degli eventi), Microsoft Sentinel è anche una piattaforma SOAR (Security Orchestration, Automation, and Response, orchestrazione della sicurezza, automazione e risposta). Uno degli scopi principali è automatizzare tutte le attività ricorrenti e prevedibili di arricchimento, risposta e correzione che sono responsabilità del personale e del centro operazioni per la sicurezza (SOC/SecOps)
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che ha implementato Microsoft Sentinel. È stata identificata una regola analitica che genera eventi imprevisti considerati positivi benigni. Si vuole che questi eventi imprevisti vengano chiusi automaticamente dopo la generazione.
Al termine di questo modulo, sarà possibile usare le regole di automazione in Microsoft Sentinel per automatizzare la gestione degli eventi imprevisti.
Al termine di questo modulo si sarà in grado di:
- Spiegare le opzioni di automazione in Microsoft Sentinel
- Creare le regole di automazione in Microsoft Sentinel