Esercizio - Creare un playbook di Microsoft Sentinel

  • 30 minuti

Come analista delle operazioni per la sicurezza che lavora per Contoso, si è recentemente notato che viene generato un numero significativo di avvisi quando qualcuno elimina una macchina virtuale. Si vogliono analizzare tali occorrenze in futuro e ridurre gli avvisi generati per le occorrenze che rappresentano falsi positivi.

Esercizio: Risposta alle minacce con i playbook di Microsoft Sentinel

Si decide di implementare un playbook di Microsoft Sentinel per automatizzare le risposte a un evento imprevisto.

In questo esercizio si esamineranno i playbook di Microsoft Sentinel eseguendo queste attività:

  • Configurare le autorizzazioni del playbook di Microsoft Sentinel.

  • Creare un playbook per automatizzare un'azione per rispondere a eventi imprevisti.

  • Testare il playbook richiamando un evento imprevisto.

Nota

Per poter completare questo esercizio, è necessario aver completato l'unità di configurazione dell'esercizio. Se non è stato fatto, completarla ora e continuare con i passaggi dell'esercizio.

Attività 1: Configurare le autorizzazioni del playbook di Microsoft Sentinel

  1. Nel portale di Azure cercare e selezionare Microsoft Sentinel e selezionare l'area di lavoro di Microsoft Sentinel creata in precedenza.

  2. Nella pagina Microsoft Sentinel selezionare Analisi nella sezione Configurazione della barra dei menu.

  3. Nella pagina Impostazioni selezionare la scheda Impostazioni e scorrere verso il basso ed espandere le Autorizzazioni dei playbook

  4. In Autorizzazioni dei playbookselezionare il pulsante Configura autorizzazioni.

    Screenshot delle autorizzazioni del playbook di Microsoft Sentinel.

  5. Nella pagina Gestisci autorizzazioni selezionare nella scheda Esplora il gruppo di risorse a cui appartiene l'area di lavoro di Microsoft Sentinel. Selezionare Applica.

    Screenshot della pagina Gestisci autorizzazioni per il playbook di Microsoft Sentinel.

  6. Verrà visualizzato il messaggio Aggiunta di autorizzazioni completata.

Attività 2: Usare i playbook di Microsoft Sentinel

  1. Nel portale di Azure cercare e selezionare Microsoft Sentinel e selezionare l'area di lavoro di Microsoft Sentinel creata in precedenza.

  2. Nella pagina Microsoft Sentinel selezionare Automazione nella sezione Configurazione della barra dei menu.

  3. Nel menu in alto selezionare Crea e Playbook con trigger per evento imprevisto.

  4. Nella scheda Impostazioni di base della pagina Crea playbook specificare le impostazioni seguenti:

    Impostazioni valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse del servizio Microsoft Sentinel.
    Nome del playbook ClosingIncident (è possibile scegliere qualsiasi nome)
    Paese Selezionare la stessa posizione di Microsoft Sentinel.
    area di lavoro Log Analytics Non abilitare i log di diagnostica

  5. Selezionare Avanti:Connessioni >, quindi selezionare Avanti: Rivedi e crea >

  6. Selezionare Crea e continuare con la finestra di progettazione

    Nota

    Attendere il completamento della distribuzione. La distribuzione dovrebbe richiedere meno di 1 minuto. Se continua a essere in esecuzione, potrebbe essere necessario aggiornare la pagina.

  7. Nel riquadro Progettazione app per la logica dovrebbe essere visualizzato Evento imprevisto di Microsoft Sentinel (anteprima).

    Screenshot del trigger di Microsoft Sentinel.

  8. Nella pagina Evento imprevisto di Microsoft Sentinel (anteprima) selezionare il collegamento Cambia connessione.

  9. Nella pagina Connessioni selezionare Aggiungi nuova.

  10. Nella pagina Microsoft Sentinel selezionare Accedi.

    Screenshot della connessione API di autorizzazione.

  11. Nella pagina Accedi al tuo account specificare le credenziali per la sottoscrizione di Azure.

  12. Dopo essere tornati alla pagina Evento imprevisto di Microsoft Sentinel (anteprima) si dovrebbe rilevare che si è connessi all'account. Selezionare + Nuovo passaggio.

  13. Nel campo di ricerca della finestra Scegliere un'operazione digitare Microsoft Sentinel.

  14. Selezionare l'icona di Microsoft Sentinel.

  15. Nella scheda Azioni individuare e selezionare Recupera evento imprevisto (anteprima).

  16. Nella finestra Recupera evento imprevisto (anteprima) selezionare il campo ID ARM evento imprevisto. Verrà visualizzata la finestra di Aggiungi contenuto dinamico.

    Suggerimento

    Quando si seleziona un campo, viene aperta una nuova finestra che consente di compilare questi campi con contenuto dinamico.

  17. Nella casella di ricerca della scheda Contenuto dinamico è possibile iniziare a immettere ARM evento imprevisto, quindi selezionare la voce nell'elenco, come illustrato nello screenshot seguente.

    Screenshot di Get Incident (Recupera evento imprevisto).

  18. Selezionare + Nuovo passaggio.

  19. Nel campo di ricerca della finestra Scegliere un'operazione digitare Microsoft Sentinel.

    Suggerimento

    In Selezioni recenti nella scheda Per l'utente dovrebbe essere visualizzata l'icona di Microsoft Sentinel.

  20. Selezionare l'icona di Microsoft Sentinel.

  21. Nella scheda Azioni individuare e selezionare Aggiorna evento imprevisto (anteprima).

  22. Nella finestra Aggiorna evento imprevisto (anteprima) specificare gli input seguenti:

    Impostazione Valori
    Specificare l'ID ARM dell'evento imprevisto ID ARM dell'evento imprevisto
    Specificare l'ID oggetto proprietario/UPN ID oggetto proprietario dell'evento imprevisto
    Specificare il proprietario dell'assegnazione/annullamento dell'assegnazione Nel menu a discesa selezionare Annulla assegnazione
    Gravità È possibile lasciare il valore predefinito per Gravità dell'evento imprevisto
    Specificare lo stato Nel menu a discesa selezionare Chiuso.
    Specificare il motivo della classificazione Nel menu a discesa selezionare una voce come Indeterminato oppure selezionare Immettere un valore personalizzato e selezionare il contenuto dinamico per IncidentClassification.
    Testo motivo chiusura Scrivere testo descrittivo.

    Screenshot dello stato di Get Incident (Recupera evento imprevisto).

  23. Selezionare il campo ID ARM evento imprevisto. Viene visualizzata la finestra Aggiungi contenuto dinamico. Nella casella di ricerca è possibile iniziare a immettere ARM evento imprevisto. Selezionare ID ARM evento imprevisto e quindi selezionare il campo ID oggetto proprietario/UPN.

  24. Viene visualizzata la finestra Aggiungi contenuto dinamico. Nella casella di ricerca è possibile iniziare a immettere Proprietario evento imprevisto. Selezionare ID oggetto proprietario evento imprevisto e quindi compilare i campi rimanenti usando le voci della tabella.

  25. Al termine, scegliere Salva dalla barra dei menu di Progettazione app per la logica e quindi chiudere Progettazione app per la logica.

Attività 3: Richiamare un evento imprevisto ed esaminare le azioni associate

  1. Nel portale di Azure, nella casella di testo Cerca risorse, servizi e documentazione digitare macchine virtuali e quindi premere INVIO.

  2. Nella pagina Macchine virtuali individuare e selezionare la macchina virtuale simple-vm e quindi nella barra dell'intestazione selezionare Elimina.

  3. Nella pagina Elimina simple-vm selezionare Elimina con macchina virtuale per Disco sistema operativo e Interfaccia di rete.

  4. Selezionare la casella per confermare Ho letto e compreso che questa macchina virtuale e tutte le risorse selezionate verranno eliminate., quindi selezionare Elimina per eliminare la macchina virtuale.

    Screenshot della pagina Elimina simple-vm.

    Nota

    Questa attività crea un evento imprevisto basato sulla regola di analisi creata in precedenza nell'unità di configurazione dell'esercizio. La creazione dell'evento imprevisto può richiedere fino a 15 minuti. Attendere il completamento prima di procedere con il passaggio successivo.

Attività 4: Assegnare il playbook a un evento imprevisto esistente

  1. Nel portale di Azure cercare e selezionare Microsoft Sentinel, quindi selezionare l'area di lavoro di Microsoft Sentinel creata in precedenza.

  2. Nella pagina Microsoft Sentinel | Panoramica, nella barra dei menu, nella sezione Gestione delle minacce, selezionare Eventi imprevisti.

    Nota

    Come indicato nella nota precedente, la creazione di eventi imprevisti può richiedere fino a 15 minuti. Aggiornare la pagina fino a quando l'evento imprevisto non viene visualizzato nella pagina Eventi imprevisti.

  3. Nella pagina Microsoft Sentinel | Eventi imprevisti selezionare l'evento imprevisto che è stato creato in seguito all'eliminazione della macchina virtuale.

  4. Nel riquadro dei dettagli selezionare Azioni ed Esegui playbook (anteprima).

    Screenshot delle azioni del riquadro Dettagli evento imprevisto per eseguire il playbook.

  5. Nella scheda Playbooks della pagina Esegui playbook in caso di evento imprevisto dovrebbe essere visualizzato il playbook ClosingIncident. Selezionare Esegui.

  6. Verificare che venga visualizzato il messaggio Il playbook è stato attivato.

  7. Chiudere la pagina Esegui playbook in caso di evento imprevisto per tornare alla pagina Microsoft Sentinel | Eventi imprevisti.

  8. Nella pagina Microsoft Sentinel | Eventi imprevisti, nella barra di intestazione, selezionare Aggiorna. Si noterà che l'evento imprevisto scompare dal riquadro. Nel menu Stato selezionare Chiuso e quindi selezionare OK.

    Nota

    Potrebbe essere necessario attendere fino a 5 minuti perché venga visualizzato lo stato Chiuso per gli avvisi.

    Screenshot della barra di intestazione.

  9. Verificare che l'evento imprevisto venga visualizzato di nuovo e osservare la colonna Stato per controllare che sia Chiuso.

Pulire le risorse

  1. Nel portale di Azure cercare Gruppi di risorse.

  2. Selezionare azure-sentinel-rg.

  3. Nella barra dell'intestazione selezionare Elimina gruppo di risorse.

  4. Nel campo TYPE THE RESOURCE GROUP NAME: (DIGITARE IL NOME DEL GRUPPO DI RISORSE) immettere il nome del gruppo di risorse azure-sentinel-rg e selezionare Elimina.