Attivare un playbook in tempo reale

Completato

È possibile configurare i playbook di Microsoft Sentinel in Contoso per rispondere alle minacce per la sicurezza.

Esplora la pagina Playbook

È possibile automatizzare le risposte alle minacce nella pagina Playbook. In questa pagina è possibile osservare tutti i playbook creati da App per la logica di Azure. Nella colonna Trigger kind (Tipo di trigger) viene presentato il tipo di connettori usati nell'app per la logica.

È possibile usare la barra di intestazione, come mostrato nel diagramma seguente, per creare nuovi playbook o per abilitare o disabilitare i playbook esistenti.

Nella barra di intestazione sono disponibili le opzioni seguenti:

• Usare l'opzione Aggiungi un playbook per creare un nuovo playbook.

• Usare l'opzione Aggiorna per aggiornare la visualizzazione, ad esempio dopo aver creato un nuovo playbook.

• Usare il campo dell'ora a discesa per filtrare lo stato dell'esecuzione dei playbook.

• Le opzioni Abilita, Disabilita ed Elimina sono disponibili solo se si selezionano una o più app per la logica.

• Per altre informazioni sulle app per la logica, usare l'opzione Logic Apps documentation (Documentazione di App per la logica) per accedere ai collegamenti alla documentazione Microsoft ufficiale.

Contoso vuole usare azioni automatiche per impedire l'accesso alla rete da parte di utenti sospetti. Come amministratore della sicurezza, è possibile creare un playbook per implementare questa azione. Per creare un nuovo playbook, selezionare Aggiungi un playbook. Si verrà indirizzati alla pagina in cui è necessario creare una nuova app per la logica fornendo gli input per le impostazioni seguenti:

• Sottoscrizione. Selezionare la sottoscrizione che contiene Microsoft Sentinel.

• Gruppo di risorse. È possibile usare un gruppo di risorse esistente o crearne uno nuovo.

• Nome dell'app per la logica. Specificare un nome descrittivo per l'app per la logica.

• Posizione. Selezionare la stessa posizione dell'area di lavoro Log Analytics.

• Log Analytics. Se si abilita Log Analytics, è possibile ottenere informazioni sugli eventi di runtime dei playbook.

Dopo aver fornito questi input, selezionare l'opzione Rivedi e crea e quindi selezionare Crea.

Progettazione app per la logica

Microsoft Sentinel crea l'app per la logica e quindi si viene indirizzati alla pagina Progettazione app per la logica.

Nella pagina Progettazione app per la logica è disponibile un'area di progettazione che consente di aggiungere un trigger e le azioni al flusso di lavoro. Ad esempio, è possibile configurare il trigger in modo che venga attivato dal connettore di Microsoft Sentinel quando viene creato un nuovo evento imprevisto di sicurezza. Nella pagina Progettazione app per la logica sono disponibili molti modelli predefiniti. Tuttavia, per creare un playbook è necessario iniziare con il modello App per la logica vuota per progettare l'app per la logica da zero.

L'attività automatizzata nel playbook viene avviata dal trigger di Microsoft Sentinel. È possibile cercare il trigger di Microsoft Sentinel nella casella di ricerca dell'area di disegno e quindi selezionare uno dei due trigger disponibili seguenti:

• When a response to a Microsoft Sentinel alert is triggered (Quando viene attivata una risposta a un avviso di Microsoft Sentinel)

• When Microsoft Sentinel incident creation rule is triggered (Quando viene attivata la regola di creazione degli eventi imprevisti di Microsoft Sentinel)

Alla prima apertura del connettore di Microsoft Sentinel viene richiesto di accedere al tenant con un account utente di Microsoft Entra ID o con un'entità servizio. In questo modo viene stabilita una connessione API a Microsoft Entra ID. Le connessioni API archiviano le variabili e i token necessari per accedere all'API per la connessione, ad esempio Microsoft Entra ID, Office 365 o simile.

Ogni playbook inizia con un trigger seguito da azioni che definiscono la risposta automatica per un evento imprevisto di sicurezza. È possibile combinare le azioni da un connettore di Microsoft Sentinel con altre azioni di altri connettori di App per la logica.

Ad esempio, è possibile aggiungere il trigger da un connettore di Microsoft Sentinel quando viene attivato un evento imprevisto, seguito da un'azione che identifica le entità dall'avviso di Microsoft Sentinel e quindi un'altra azione che invia un messaggio di posta elettronica a un account di posta elettronica di Office 365. Microsoft Sentinel crea ogni azione come nuovo passaggio e definisce l'attività che si sta aggiungendo nell'app per la logica.

Lo screenshot seguente mostra l'evento imprevisto attivato dal connettore di Microsoft Sentinel, che rileva un account sospetto e invia un messaggio di posta elettronica all'amministratore.

Ogni passaggio nella progettazione del flusso di lavoro include campi diversi che è necessario compilare. Ad esempio, per l'azione Entità - Recupera account è necessario fornire l'elenco di entità da un avviso di Microsoft Sentinel. Un vantaggio dell'uso di App per la logica di Azure è la possibilità di fornire questo input dall'elenco Contenuto dinamico, che viene popolato con gli output del passaggio precedente. Ad esempio, il trigger del connettore di Microsoft Sentinel Quando viene attivata una risposta all'avviso di Microsoft Sentinel fornisce proprietà dinamiche, ad esempio Entità, Nome visualizzato avviso, che è possibile usare per gli input.

È anche possibile aggiungere un gruppo di azioni di controllo che consente all'app per la logica di prendere decisioni. Il gruppo di azioni di controllo può includere condizioni logiche, condizioni switch case o cicli.

Un azione condizione è un'istruzione if che consente all'app di eseguire azioni diverse in base ai dati elaborati. È costituita da un'espressione booleana e due azioni. Durante l'esecuzione il motore di esecuzione valuta l'espressione e sceglie un'azione in base al valore true o false dell'espressione.

Ad esempio, Contoso riceve un volume elevato di avvisi, molti dei quali con modelli ricorrenti, che non possono essere elaborati o analizzati. Usando l'automazione in tempo reale, i team SecOps di Contoso possono ridurre significativamente il carico di lavoro automatizzando completamente le risposte di routine ai tipi di avvisi ricorrenti.

Lo screenshot seguente presenta una situazione simile, nella quale il playbook può modificare lo stato dell'avviso in base all'input dell'utente. L'azione di controllo intercetta l'input dell'utente e, se l'espressione risulta essere vera, il playbook modifica lo stato dell'avviso. Nel caso in cui l'azione di controllo valuti l'espressione come falsa, il playbook può eseguire altre attività, ad esempio l'invio di un messaggio di posta elettronica come illustrato nello screenshot seguente.

Dopo aver configurato tutti i passaggi nella finestra di progettazione di App per la logica, salvare l'app per la logica per creare un playbook in Microsoft Sentinel.

Pagina di App per la logica in Microsoft Sentinel

I playbook creati vengono visualizzati nella pagina Playbook ed è possibile modificarli ulteriormente. Dalla pagina Playbook è possibile selezionare un playbook esistente per aprire la pagina App per la logica per tale playbook in Microsoft Sentinel.

È possibile eseguire diverse azioni nel playbook dalla barra di intestazione della pagina App per la logica:

• Esegui trigger. Usare questa opzione per eseguire l'app per la logica per testare il playbook.

• Aggiornamento. Usare questa opzione per aggiornare lo stato dell'app per la logica per recuperare lo stato dell'attività.

• Modifica. Usare questa opzione per modificare ulteriormente il playbook nella pagina Progettazione app per la logica.

• Elimina. Usare questa opzione per eliminare l'app per la logica, se non è necessaria.

• Disabilita. Usare questa opzione per disabilitare temporaneamente l'app per la logica per impedire che l'azione venga eseguita anche se il trigger è attivato.

• Aggiorna schema. Usare questa opzione per aggiornare lo schema dell'app per la logica dopo una modifica significativa nella logica.

• Clona. Usare questa opzione per creare una copia dell'app per la logica esistente e quindi usarla come base per ulteriori modifiche.

• Esportazione. Usare questa opzione per esportare l'app per la logica in Microsoft Power Automate e Microsoft Power Apps.

Nella sezione Essentials sono visualizzate informazioni descrittive sull'app per la logica. La definizione dell'app per la logica, ad esempio, visualizza il numero di trigger e azioni forniti dall'app per la logica.

È possibile usare la sezione Riepilogo per esaminare le informazioni riepilogative sull'app per la logica. In questa sezione è possibile selezionare il collegamento dell'app per la logica per aprirla in Progettazione app per la logica o per rivedere la cronologia dei trigger.

La sezione Cronologia esecuzioni visualizza le esecuzioni precedenti dell'app per la logica con il relativo esito.

Automatizzare la risposta a un evento imprevisto in Microsoft Sentinel

Come passaggio finale, è necessario associare questo playbook a una regola di analisi per automatizzare le risposte a un evento imprevisto. È possibile usare la sezione Risposta automatica nella regola di analisi per selezionare un playbook da eseguire automaticamente quando viene generato l'avviso. Per altre informazioni su come creare una regola di analisi, vedere il modulo "Rilevamento delle minacce con le analisi di Microsoft Sentinel".

Verificare le conoscenze

1.

Che cos'è il contenuto dinamico in un'app per la logica?

Elenco di minacce selezionate in modo dinamico.

Elenco di input dinamici per l'azione corrente.

Elenco di utenti dinamici.

2.

Un amministratore crea un nuovo playbook per ricevere una notifica ogni volta che a un utente viene delegato il ruolo di amministratore globale. Quale connettore deve selezionare l'amministratore nell'app per la logica?

Microsoft Entra Connector.

Connettore per Office 365.

Connettore di Microsoft Sentinel.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.