Automazione in Microsoft Sentinel: orchestrazione della sicurezza, automazione e risposta (SOAR)
I team di gestione delle informazioni sulla sicurezza e degli eventi (SIEM) e del Centro operativo per la sicurezza (SOC) sono in genere inondati con avvisi di sicurezza ed eventi imprevisti a intervalli regolari, in volumi così grandi che il personale disponibile viene sovraccaricato. Questo risultato è troppo spesso in situazioni in cui molti avvisi vengono ignorati e molti eventi imprevisti non vengono esaminati, lasciando l'organizzazione vulnerabile agli attacchi che non vengono rilevati.
Microsoft Sentinel, oltre a essere un sistema SIEM, è anche una piattaforma per l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR). Uno dei suoi scopi principali consiste nell'automatizzare eventuali attività ricorrenti e prevedibili di arricchimento, risposta e correzione che sono responsabilità del centro operativo di sicurezza e del personale (SOC/SecOps), liberando tempo e risorse per un'analisi più approfondita delle minacce avanzate.
Questo articolo descrive le funzionalità SOAR di Microsoft Sentinel e illustra come l'uso di regole di automazione e playbook in risposta alle minacce alla sicurezza aumenta l'efficacia del SOC e consente di risparmiare tempo e risorse.
Importante
Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Regole di automazione
Microsoft Sentinel usa regole di automazione per consentire agli utenti di gestire l'automazione della gestione degli eventi imprevisti da una posizione centrale. Usare le regole di automazione per:
- Assegnare un'automazione più avanzata a eventi imprevisti e avvisi, usando playbook
- Contrassegna, assegna o chiude automaticamente gli eventi imprevisti senza un playbook
- Automatizzare le risposte per più regole di analisi contemporaneamente
- Creare elenchi di attività che gli analisti devono eseguire durante la valutazione, l'analisi e la correzione degli eventi imprevisti
- Controllare l'ordine delle azioni eseguite
È consigliabile applicare regole di automazione quando vengono creati o aggiornati eventi imprevisti per semplificare ulteriormente l'automazione e semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.
Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.
Playbook
Un playbook è una raccolta di logica e azioni di risposta e correzione che è possibile eseguire da Microsoft Sentinel come routine. Un playbook può:
- Semplificare l'automazione e l'orchestrazione della risposta alle minacce
- Eseguire l'integrazione con altri sistemi, interni ed esterni
- Essere configurata per l'esecuzione automatica in risposta a avvisi o eventi imprevisti specifici o per l'esecuzione manuale su richiesta, ad esempio in risposta a nuovi avvisi
In Microsoft Sentinel i playbook sono basati su flussi di lavoro basati su App per la logica di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi aziendali. Ciò significa che i playbook possono sfruttare tutta la potenza e la capacità di personalizzazione delle funzionalità di integrazione e orchestrazione di App per la logica, strumenti di progettazione facili da usare, nonché scalabilità, affidabilità e livello di servizio di un servizio di Azure di livello 1.
Per altre informazioni, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.
Automazione con la piattaforma unificata per le operazioni di sicurezza
Dopo l'onboarding dell'area di lavoro di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza, tenere presente le differenze seguenti nel modo in cui l'automazione funziona nell'area di lavoro:
| Funzionalità | Descrizione |
|---|---|
| Regole di automazione con trigger di avviso | Nella piattaforma unificata per le operazioni di sicurezza, le regole di automazione con trigger di avviso agiscono solo sugli avvisi di Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione di avvisi. |
| Regole di automazione con trigger di eventi imprevisti | Sia nella portale di Azure che nella piattaforma unificata per le operazioni di sicurezza, la proprietà Condizione del provider di eventi imprevisti viene rimossa, perché tutti gli eventi imprevisti hanno Microsoft Defender XDR come provider di eventi imprevisti (il valore nel campo ProviderName). A questo punto, tutte le regole di automazione esistenti vengono eseguite su eventi imprevisti di Microsoft Sentinel e Microsoft Defender XDR, inclusi quelli in cui la condizione del provider di eventi imprevisti è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome specifico della regola di analisi verranno eseguite solo sugli eventi imprevisti creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione del nome della regola analitica su una regola di analisi esistente solo in Microsoft Sentinel per limitare l'esecuzione della regola agli eventi imprevisti solo in Microsoft Sentinel. Per altre informazioni, vedere Condizioni di trigger degli eventi imprevisti. |
| Modifiche ai nomi degli eventi imprevisti esistenti | Nella piattaforma operativa SOC unificata, il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nella piattaforma operativa SOC unificata, i nomi degli eventi imprevisti esistenti potrebbero essere modificati se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è quindi consigliabile evitare di usare i titoli degli eventi imprevisti nelle regole di automazione e suggerire invece l'uso dei tag. |
| Aggiornato in base al campo | Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti. |
| Regole di automazione che aggiungono attività impreviste | Se una regola di automazione aggiunge un'attività di evento imprevisto, l'attività viene visualizzata solo nella portale di Azure. |
| Regole di creazione degli eventi imprevisti Microsoft | Le regole di creazione degli eventi imprevisti Microsoft non sono supportate nella piattaforma unificata per le operazioni di sicurezza. Per altre informazioni, vedere Eventi imprevisti XDR di Microsoft Defender e regole di creazione di eventi imprevisti Microsoft. |
| Esecuzione di regole di automazione dal portale di Defender | Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e un evento imprevisto viene creato o aggiornato nel portale di Defender a quando viene eseguita una regola di automazione. Questo intervallo di tempo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione. |
| Scheda Playbook attivi | Dopo l'onboarding nella piattaforma unificata per le operazioni di sicurezza, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nella portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro della sottoscrizione. Per altre informazioni, vedere Creare e personalizzare playbook di Microsoft Sentinel dai modelli di contenuto. |
| Esecuzione manuale di playbook su richiesta | Le procedure seguenti non sono attualmente supportate nella piattaforma unificata per le operazioni di sicurezza: |
| L'esecuzione di playbook in eventi imprevisti richiede la sincronizzazione di Microsoft Sentinel | Se si tenta di eseguire un playbook in un evento imprevisto dalla piattaforma unificata per le operazioni di sicurezza e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornare la schermata in pochi minuti". messaggio, questo significa che l'evento imprevisto non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo la sincronizzazione dell'evento imprevisto per eseguire correttamente il playbook. |