Che cosa sono i playbook di Microsoft Sentinel?
Oltre alla valutazione e alla risoluzione dei problemi relativi alla configurazione della sicurezza, Contoso deve anche monitorare il sistema per rilevare nuovi problemi e minacce, per poi rispondere in modo appropriato.
Azure Sentinel come soluzione SIEM e SOAR
Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) progettata per ambienti ibridi.
Nota
Le soluzioni SIEM forniscono funzionalità di archiviazione e analisi di log, eventi e avvisi generati da altri sistemi. È possibile configurare queste soluzioni per generare avvisi personalizzati. Le soluzioni SOAR supportano la correzione delle vulnerabilità e l'automazione complessiva dei processi di sicurezza.
Microsoft Sentinel usa rilevamenti predefiniti e personalizzati per segnalare potenziali minacce per la sicurezza, ad esempio tentativi di accesso alle risorse di Contoso dall'esterno dell'infrastruttura o l'invio di dati da Contoso a un indirizzo IP dannoso noto. È anche possibile creare eventi imprevisti in base a questi avvisi.
Playbook di Microsoft Sentinel
È possibile creare playbook di sicurezza in Microsoft Sentinel per rispondere agli avvisi. I playbook di sicurezza sono raccolte di procedure basate su App per la logica di Azure eseguite in risposta a un avviso. È possibile eseguire manualmente questi playbook di sicurezza in risposta alle indagini per un evento imprevisto oppure è possibile configurare un avviso per l'esecuzione automatica di un playbook.
La possibilità di rispondere automaticamente agli eventi imprevisti consente di automatizzare alcune delle operazioni di sicurezza e rendere più produttivi i centri operazioni per la sicurezza (SOC).
Per affrontare le preoccupazioni di Contoso, ad esempio, è possibile sviluppare un flusso di lavoro con passaggi definiti che possono impedire a un nome utente sospetto di accedere alle risorse da un indirizzo IP non sicuro. In alternativa, è possibile configurare il playbook per eseguire un'operazione, ad esempio inviare una notifica al team SecOps per un avviso di sicurezza di alto livello.
App per la logica di Azure
App per la logica di Azure è un servizio cloud che automatizza l'esecuzione dei processi aziendali. Si usa uno strumento di progettazione con interfaccia grafica denominato Progettazione app per la logica per organizzare i componenti predefiniti nella sequenza necessaria. È anche possibile usare la visualizzazione del codice e scrivere il processo automatizzato nel file JSON.
Connettore per App per la logica
Le app per la logica usano i connettori per connettersi a centinaia di servizi. Un connettore è un componente che offre un'interfaccia a un servizio esterno.
Nota
Un connettore dati di Microsoft Sentinel e un connettore per App per la logica non sono uguali. Un connettore dati di Microsoft Sentinel connette Microsoft Sentinel ai prodotti e agli ecosistemi di sicurezza Microsoft per soluzioni non Microsoft. Un connettore per App per la logica è un componente che fornisce una connessione API per un servizio esterno e consente l'integrazione di eventi, dati e azioni tra app, servizi, sistemi, protocolli e piattaforme.
Che cosa sono i trigger e le azioni
App per la logica di Azure usa trigger e azioni, definiti come segue:
Un trigger è un evento che si verifica quando una serie di condizioni viene soddisfatta. I trigger si attivano automaticamente quando vengono soddisfatte le condizioni. Ad esempio, si verifica un evento imprevisto di sicurezza in Microsoft Sentinel, che è un trigger per un'azione automatica.
Un'azione è un'operazione che esegue un'attività nel flusso di lavoro di App per la logica. Le azioni vengono eseguite quando viene attivato un trigger, viene completata un'altra azione o viene soddisfatta una condizione.
Connettore per App per la logica di Microsoft Sentinel
Un playbook di Microsoft Sentinel usa un connettore per App per la logica di Microsoft Sentinel. Fornisce i trigger e le azioni che possono avviare il playbook ed eseguire le azioni definite.
Attualmente sono disponibili due trigger dal connettore per App per la logica di Microsoft Sentinel:
When a response to a Microsoft Sentinel alert is triggered (Quando viene attivata una risposta a un avviso di Microsoft Sentinel)
When Microsoft Sentinel incident creation rule is triggered (Quando viene attivata la regola di creazione degli eventi imprevisti di Microsoft Sentinel)
Nota
Poiché il connettore per App per la logica di Microsoft Sentinel è in anteprima, le funzionalità descritte in questo modulo potrebbero cambiare in futuro.
La tabella seguente elenca tutte le azioni correnti per il connettore di Microsoft Sentinel.
| Nome | Descrizione |
|---|---|
| Add comment to incident | Aggiunge commenti all'evento imprevisto selezionato. |
| Add labels to incident | Aggiunge etichette all'evento imprevisto selezionato. |
| Alert - Get incident | Restituisce l'evento imprevisto associato all'avviso selezionato. |
| Change incident description | Modifica la descrizione per l'evento imprevisto selezionato. |
| Change incident severity | Modifica la gravità per l'evento imprevisto selezionato. |
| Change incident status | Modifica lo stato per l'evento imprevisto selezionato. |
| Change incident title (V2) | Modifica il titolo per l'evento imprevisto selezionato. |
| Entities - Get Accounts | Restituisce un elenco di account associati all'avviso. |
| Entities - Get FileHashes | Restituisce un elenco di hash di file associati all'avviso. |
| Entities - Get Hosts | Restituisce un elenco di host associati all'avviso. |
| Entities - Get IPs | Restituisce un elenco di indirizzi IP associati all'avviso. |
| Entities - Get URLs | Restituisce un elenco di URL associati all'avviso. |
| Remove labels from incident | Rimuove le etichette per l'evento imprevisto selezionato. |
Nota
Le azioni con (V2) o un numero maggiore forniscono una nuova versione dell'azione e potrebbero differire dalla funzionalità precedente.
Per alcune azioni è necessaria l'integrazione con le azioni di altri connettori. Ad esempio, se Contoso vuole identificare tutti gli account sospetti restituiti nell'avviso dalle entità definite, è necessario combinare l'azione Entities - Get Accounts con l'azione For Each. Analogamente, per ottenere tutti i singoli host in un evento imprevisto che rileva gli host sospetti, è necessario combinare l'azione Entities - Get Hosts con l'azione For Each.