Comprendere le opzioni di automazione
L'automazione può avere forme diverse in Microsoft Sentinel. Dalle regole di automazione che gestiscono centralmente l'automazione della gestione degli eventi imprevisti e della relativa risposta, ai playbook che eseguono sequenze predeterminate di azioni per fornire automazione avanzata potente e flessibile alle attività di risposta alle minacce.
Regole di automazione
Le regole di automazione consentono agli utenti di gestire centralmente l'automazione della gestione degli eventi imprevisti. Le regole di automazione consentono anche di automatizzare le risposte per più regole di analisi contemporaneamente. È possibile contrassegnare, assegnare o chiudere automaticamente gli eventi imprevisti senza la necessità di playbook e controllare l'ordine delle azioni eseguite. Le regole di automazione semplificano l'uso dell'automazione in Microsoft Sentinel e consentono di semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.
Playbook
Un playbook è una raccolta di logica e azioni di risposta e correzione che è possibile eseguire da Microsoft Sentinel come routine. Un playbook consente di automatizzare e orchestrare la risposta alle minacce. Può essere integrato con altri sistemi sia interni che esterni e può essere impostato per l'esecuzione automatica in risposta ad avvisi o eventi imprevisti specifici tramite, rispettivamente, una regola di analisi o una regola di automazione. Può anche essere eseguito manualmente su richiesta, in risposta agli avvisi, dalla pagina degli eventi imprevisti.
I playbook in Microsoft Sentinel si basano su flussi di lavoro creati in App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. Ciò significa che i playbook possono sfruttare tutta la potenza e la capacità di personalizzazione delle funzionalità di integrazione e orchestrazione di App per la logica, strumenti di progettazione facili da usare, nonché scalabilità, affidabilità e livello di servizio di un servizio di Azure di livello 1.