Esercitazione: Configurare le risposte automatiche alle minacce nell'anteprima di Azure SentinelTutorial: Set up automated threat responses in Azure Sentinel Preview

Importante

Azure Sentinel è attualmente in anteprima pubblica.Azure Sentinel is currently in public preview. Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione.This preview version is provided without a service level agreement, and it's not recommended for production workloads. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features might not be supported or might have constrained capabilities. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Questa esercitazione illustra come usare i playbook di sicurezza in Azure Sentinel per impostare risposte automatiche ai problemi relativi alla sicurezza rilevati da Azure Sentinel.This tutorial helps you to use security playbooks in Azure Sentinel to set automated threat responses to security-related issues detected by Azure Sentinel.

  • Informazioni sui playbookUnderstand playbooks
  • Creare un playbookCreate a playbook
  • Eseguire un playbookRun a playbook

Definizione di playbook di sicurezza in Azure SentinelWhat is a security playbook in Azure Sentinel?

Un playbook di sicurezza è una raccolta di procedure che possono essere eseguite da Azure Sentinel in risposta a un avviso.A security playbook is a collection of procedures that can be run from Azure Sentinel in response to an alert. Un playbook di sicurezza può contribuire ad automatizzare e orchestrare la risposta e può essere eseguito manualmente o impostato per l'esecuzione automatica quando vengono attivati avvisi specifici.A security playbook can help automate and orchestrate your response, and can be run manually or set to run automatically when specific alerts are triggered. I playbook di sicurezza in Azure Sentinel si basano su App per la logica di Azure, il che significa che sarà possibile sfruttare tutta la potenza, la personalizzazione e i modelli integrati di App per la logica.Security playbooks in Azure Sentinel are based on Azure Logic Apps, which means that you get all the power, customizability, and built-in templates of Logic Apps. Ogni playbook viene creato per la specifica sottoscrizione scelta, ma quando si osserva la pagina dei playbook verranno visualizzati tutti i playbook delle sottoscrizioni selezionate.Each playbook is created for the specific subscription you choose, but when you look at the Playbooks page, you will see all the playbooks across any selected subscriptions.

Nota

I playbook sfruttano le funzionalità di App per la logica di Azure, quindi sono previsti addebiti.Playbooks leverage Azure Logic Apps, therefore charges apply. Per altre informazioni, vedere la pagina dei prezzi per App per la logica di Azure.Visit Azure Logic Apps pricing page for more details.

Se ad esempio si teme che utenti malintenzionati accedano alle risorse di rete, è possibile impostare un avviso che cerca indirizzi IP dannosi che accedono alla rete.For example, if you're worried about malicious attackers accessing your network resources, you can set an alert that looks for malicious IP addresses accessing your network. È quindi possibile creare un playbook che esegue queste operazioni:Then, you can create a playbook that does the following:

  1. Quando viene attivato l'avviso, aprire un ticket in ServiceNow o in qualsiasi altro sistema di creazione di ticket IT.When the alert is triggered, open a ticket in ServiceNow or any other IT ticketing system.
  2. Inviare un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che i propri analisti della sicurezza siano a conoscenza dell'evento imprevisto.Send a message to your security operations channel in Microsoft Teams or Slack to make sure your security analysts are aware of the incident.
  3. Inviare tutte le informazioni nell'avviso all'amministratore di rete senior e all'amministratore della sicurezza. Il messaggio di posta elettronica include anche due pulsanti di opzione Blocca o Ignora.Send all the information in the alert to your senior network admin and security admin. The email message also includes two user option buttons Block or Ignore.
  4. Il playbook continua a funzionare dopo la ricezione di una risposta dagli amministratori.The playbook continues to run after a response is received from the admins.
  5. Se gli amministratori scelgono Blocca, l'indirizzo IP viene bloccato nel firewall e l'utente è disabilitato in Azure AD.If the admins choose Block, the IP address is blocked in the firewall and the user is disabled in Azure AD.
  6. Se gli amministratori scelgono Ignora, l'avviso viene chiuso in Azure Sentinel e l'evento imprevisto viene chiuso in ServiceNow.If the admins choose Ignore, the alert is closed in Azure Sentinel and the incident is closed in ServiceNow.

I playbook di sicurezza possono essere eseguiti manualmente o automaticamente.Security playbooks can be run either manually or automatically. Se vengono eseguiti manualmente, quando si riceve un avviso è possibile scegliere di eseguire un playbook su richiesta come risposta all'avviso selezionato.Running them manually means that when you get an alert, you can choose to run a playbook on-demand as a response to the selected alert. Se vengono eseguiti automaticamente, la regola di correlazione creata viene impostata per l'esecuzione automatica di uno o più playbook quando viene attivato l'avviso.Running them automatically means that while authoring the correlation rule, you set it to automatically run one or more playbooks when the alert is triggered.

Creare un playbook di sicurezzaCreate a security playbook

Seguire questa procedura per creare un nuovo playbook di sicurezza in Azure Sentinel:Follow these steps to create a new security playbook in Azure Sentinel:

  1. Aprire il dashboard di Azure Sentinel.Open the Azure Sentinel dashboard.

  2. In Gestione selezionare Playbook.Under Management, select Playbooks.

    App per la logica

  3. Nella paginaAzure Sentinel - Playbook (anteprima) fare clic sul pulsante Aggiungi.In the Azure Sentinel - Playbooks (Preview) page, click Add button.

    Creare l'app per la logica

  4. Nella pagina Crea app per la logica digitare le informazioni richieste per creare la nuova app per la logica e fare clic su Crea.In the Create Logic app page, type the requested information to create your new logic app, and click Create.

  5. In Progettazione app per la logica selezionare il modello che si vuole usare.In the Logic App Designer, select the template you want to use. Se si seleziona un modello che richiede credenziali, sarà necessario fornirle.If you select a template that necessitates credentials, you will have to provide them. In alternativa è possibile creare un nuovo playbook vuoto da zero.Alternatively, you can create a new blank playbook from scratch. Selezionare App per la logica vuota.Select Blank Logic App.

    Progettazione app per la logica

  6. Verrà visualizzata la pagina Progettazione app per la logica in cui è possibile creare un nuovo modello oppure modificarne uno esistente.You are taken to the Logic App Designer where you can either build new or edit the template. Vedere altre informazioni sulla creazione di un playbook con App per la logica.For more information on creating a playbook with Logic Apps.

  7. Se si sta creando un playbook vuoto, nel campo Cerca tutti i connettori e i trigger digitare Azure Sentinel e selezionare When a response to an Azure Sentinel alert is triggered (Quando viene attivata una risposta a un avviso di Azure Sentinel).If you are creating a blank playbook, in the Search all connectors and triggers field, type Azure Sentinel, and select When a response to an Azure Sentinel alert is triggered.
    Dopo averlo creato, il nuovo playbook viene visualizzato nell'elenco Playbook.After it is created, the new playbook appears in the Playbooks list. Se non viene visualizzato, fare clic su Aggiorna.If it doesn’t appear, click Refresh.

  8. È ora possibile definire cosa accade quando si attiva il playbook.Now you can define what happens when you trigger the playbook. È possibile aggiungere un'azione, una condizione logica, condizioni switch case o cicli.You can add an action, logical condition, switch case conditions, or loops.

    Progettazione app per la logica

Come eseguire un playbook di sicurezzaHow to run a security playbook

È possibile eseguire un playbook su richiesta.You can run a playbook on demand.

Per eseguire un playbook su richiesta:To run a playbook on-demand:

  1. Nella pagina Cases (Casi) selezionare un caso e fare clic su View full details (Visualizza i dettagli completi).In the Cases page, select a case and click on View full details.

  2. Nella schedaAlerts (Avvisi) fare clic sull'avviso sul quale eseguire il playbook, scorrere verso destra e fare clic su View playbooks (Visualizza i playbook). Selezionare quindi un playbook da eseguire dall'elenco di playbook disponibili nella sottoscrizione.In the Alerts tab, click on the alert you want to run the playbook on, and scroll all the way to the right and click View playbooks and select a playbook to run from the list of available playbooks on the subscription.

Passaggi successiviNext steps

In questo articolo si è appreso come eseguire un playbook in Azure Sentinel.In this article, you learned how to run a playbook in Azure Sentinel. Per altre informazioni su Azure Sentinel, vedere gli articoli seguenti: In questa esercitazione si è appreso come eseguire un playbook in Azure Sentinel.To learn more about Azure Sentinel, see the following articles: In this tutorial, you learned how to run a playbook in Azure Sentinel. Vedere ora come cercare le minacce in modo proattivo usando Azure Sentinel.Continue to the how to proactively hunt for threats using Azure Sentinel.

Cercare le minacce per individuare le minacce in modo proattivo nella rete.Hunt for threats to proactively find threats on your network.