Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I team di gestione delle informazioni sulla sicurezza e degli eventi (SIEM) e il Centro operativo per la sicurezza (SOC) sono in genere inondati da con avvisi di sicurezza ed eventi imprevisti a intervalli regolari, in volumi così grandi che il personale disponibile viene sommerso. Questo risultato è troppo spesso in situazioni in cui molti avvisi vengono ignorati e molti eventi imprevisti non vengono esaminati, lasciando l'organizzazione vulnerabile agli attacchi che non vengono rilevati.
Microsoft Sentinel, oltre a essere un sistema SIEM, è anche una piattaforma per l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR). Uno dei suoi scopi principali consiste nell'automatizzare eventuali attività ricorrenti e prevedibili di arricchimento, risposta e correzione che sono responsabilità del centro operativo di sicurezza e del personale (SOC/SecOps), liberando tempo e risorse per un'analisi più approfondita delle minacce avanzate.
Questo articolo descrive le funzionalità SOAR di Microsoft Sentinel e illustra come l'uso di regole di automazione e playbook in risposta alle minacce alla sicurezza aumenta l'efficacia del SOC e consente di risparmiare tempo e risorse.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Regole di automazione
Microsoft Sentinel usa regole di automazione per consentire agli utenti di gestire l'automazione della gestione degli eventi imprevisti da una posizione centrale. Usare le regole di automazione per:
- Assegnare un'automazione più avanzata a eventi imprevisti e avvisi, usando i playbook
- Contrassegnare, assegnare o chiudere automaticamente gli eventi imprevisti senza un playbook
- Automatizzare le risposte per più regole di analisi contemporaneamente
- Creare elenchi di attività che gli analisti devono eseguire durante la valutazione, l'analisi e la correzione degli eventi imprevisti
- Controllare l'ordine delle azioni eseguite
È consigliabile applicare regole di automazione quando vengono creati o aggiornati eventi imprevisti per semplificare ulteriormente l'automazione e semplificare i flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti.
Per altre informazioni, vedere Automatizzare la risposta alle minacce in Microsoft Sentinel con regole di automazione.
Playbook
Un playbook è una raccolta di azioni di risposta e correzione e logica che possono essere eseguite da Microsoft Sentinel come routine. Un playbook può:
- Semplificare l'automazione e l'orchestrazione della risposta alle minacce
- Eseguire l'integrazione con altri sistemi, interni ed esterni
- Essere configurato per l'esecuzione automatica in risposta ad avvisi o eventi imprevisti specifici o per l'esecuzione manuale su richiesta, ad esempio in risposta a nuovi avvisi
In Microsoft Sentinel, i runbook sono basati su flussi di lavoro creati in App Logic di Azure, un servizio cloud che consente di pianificare, automatizzare e orchestrare attività e flussi di lavoro in tutti i sistemi dell'impresa. Ciò significa che i playbook possono sfruttare tutte le potenzialità e la personalizzazione delle funzionalità di integrazione e orchestrazione di App per la logica e strumenti di progettazione facili da usare e scalabilità, affidabilità e livello di servizio di un servizio di livello 1 di Azure.
Per altre informazioni, vedere Automatizzare la risposta alle minacce con i playbook in Microsoft Sentinel
Automazione nel portale di Microsoft Defender
Si notino i dettagli seguenti sul funzionamento dell'automazione per Microsoft Sentinel nel portale di Defender. Se si è un cliente esistente che esegue la transizione dal portale di Azure al portale di Defender, è possibile notare le differenze nel modo in cui l'automazione funziona nell'area di lavoro dopo l'onboarding nel portale di Defender.
| Funzionalità | Descrizione |
|---|---|
| Regole di automazione con trigger di avviso | Nel portale di Defender le regole di automazione con trigger di avviso agiscono solo sugli avvisi di Microsoft Sentinel. Per altre informazioni, vedere Trigger di creazione di avvisi. |
| Regole di automazione con trigger per eventi imprevisti | Sia nel portale di Azure che nel portale di Defender, la proprietà condizione provider di eventi imprevisti viene rimossa, perché tutti gli eventi imprevisti hanno Microsoft XDR come provider di eventi imprevisti (il valore nel campo ProviderName ). A questo punto, tutte le regole di automazione esistenti vengono eseguite su eventi imprevisti di Microsoft Sentinel e Microsoft Defender XDR, inclusi quelli in cui la condizione del provider di eventi imprevisti è impostata solo su Microsoft Sentinel o Microsoft 365 Defender. Tuttavia, le regole di automazione che specificano un nome specifico della regola di analisi vengono eseguite solo in caso di eventi imprevisti che contengono avvisi creati dalla regola di analisi specificata. Ciò significa che è possibile definire la proprietà della condizione del nome della regola analitica su una regola di analisi esistente solo in Microsoft Sentinel per limitare l'esecuzione della regola agli eventi imprevisti solo in Microsoft Sentinel. Inoltre, dopo l'onboarding nel portale di Defender, la tabella SecurityIncident non include più un campo Descrizione. Therefore: - Se si usa questo campo Descrizione come condizione per una regola di automazione con un trigger di creazione di eventi imprevisti, tale regola di automazione non funzionerà dopo l'onboarding nel portale di Defender. In questi casi, assicurarsi di aggiornare la configurazione in modo appropriato. Per altre informazioni, vedere Condizioni di tigger per eventi imprevisti. - Se si dispone di un'integrazione configurata con un sistema di ticket esterno, ad esempio ServiceNow, la descrizione dell'evento imprevisto non sarà presente. |
| Latenza nei trigger del playbook | Potrebbero essere necessari fino a 5 minuti prima che gli eventi imprevisti di Microsoft Defender vengano visualizzati in Microsoft Sentinel. Se questo ritardo è presente, anche l'attivazione del playbook viene ritardata. |
| Modifiche ai nomi degli eventi imprevisti esistenti | Il portale di Defender usa un motore univoco per correlare eventi imprevisti e avvisi. Quando si esegue l'onboarding dell'area di lavoro nel portale di Defender, è possibile modificare i nomi degli eventi imprevisti esistenti se viene applicata la correlazione. Per garantire che le regole di automazione vengano sempre eseguite correttamente, è quindi consigliabile evitare di usare i titoli degli eventi imprevisti come criteri di condizione nelle regole di automazione e suggerire invece di usare il nome di qualsiasi regola di analisi che ha creato avvisi inclusi nell'evento imprevisto e tag se è necessaria una maggiore specificità. |
| Aggiornato in base al campo | Per altre informazioni, vedere Trigger di aggiornamento degli eventi imprevisti. |
| Creazione di regole di automazione direttamente da un evento imprevisto | La creazione di regole di automazione direttamente da un evento imprevisto è supportata solo nel portale di Azure. Se stai lavorando nel portale di Defender, crea le regole di automazione da zero dalla pagina di Automazione. |
| Regole di creazione degli incidenti Microsoft | Le regole di creazione degli eventi imprevisti Microsoft non sono supportate nel portale di Defender. Per ulteriori informazioni, vedere Incidenti XDR di Microsoft Defender e regole di creazione degli incidenti Microsoft. |
| Esecuzione di regole di automazione dal portale di Defender | Potrebbero essere necessari fino a 10 minuti dal momento in cui viene attivato un avviso e in cui viene creato o aggiornato un evento imprevisto nel portale di Defender a quando viene eseguita una regola di automazione. Questo intervallo di tempo è dovuto al fatto che l'evento imprevisto viene creato nel portale di Defender e quindi inoltrato a Microsoft Sentinel per la regola di automazione. |
| Scheda playbook attivi | Dopo l'onboarding nel portale di Defender, per impostazione predefinita la scheda Playbook attivi mostra un filtro predefinito con la sottoscrizione dell'area di lavoro di cui è stato eseguito l'onboarding. Nel portale di Azure aggiungere dati per altre sottoscrizioni usando il filtro della sottoscrizione. Per altre informazioni, vedere Creare e personalizzare playbook di Microsoft Sentinel da modelli. |
| Esecuzione manuale di playbook su richiesta | Le procedure seguenti non sono attualmente supportate nel portale di Defender: |
| L'esecuzione di playbook sugli eventi imprevisti richiede la sincronizzazione di Microsoft Sentinel | Se si tenta di eseguire un playbook su un incidente dal portale di Defender e viene visualizzato il messaggio "Non è possibile accedere ai dati correlati a questa azione. Aggiornare la schermata in pochi minuti", significa che l'incidente non è ancora sincronizzato con Microsoft Sentinel. Aggiornare la pagina dell'evento imprevisto dopo la sincronizzazione per eseguire correttamente il playbook. |
|
Eventi imprevisti: aggiunta di avvisi a eventi imprevisti / Rimozione degli avvisi dagli eventi imprevisti |
Poiché l'aggiunta di avvisi a o la rimozione di avvisi dagli eventi imprevisti non è supportata dopo l'onboarding dell'area di lavoro nel portale di Defender, queste azioni non sono supportate anche dai playbook. Per altre informazioni, vedere Informazioni sulla correlazione degli avvisi e l'unione degli eventi imprevisti nel portale di Defender. |
| Integrazione di Microsoft Defender XDR in più aree di lavoro | Se i dati XDR sono stati integrati con più di un'area di lavoro in un singolo tenant, i dati verranno inseriti solo nell'area di lavoro primaria nel portale di Defender. Trasferire le regole di automazione all'area di lavoro pertinente per mantenerle in esecuzione. |
| Automazione e motore di correlazione | Il motore di correlazione può combinare avvisi provenienti da più segnali in un singolo incidente, il che potrebbe comportare la ricezione automatica di dati non previsti. È consigliabile esaminare le regole di automazione per assicurarsi di visualizzare i risultati previsti. |