Creare e usare regole di automazione di Microsoft Sentinel per gestire le risposte

2025-04-30
Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra come creare e usare regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce, al fine di ottimizzare l'efficienza e l'efficacia del SOC.

In questo articolo si apprenderà come definire i trigger e le condizioni che determinano quando viene eseguita la regola di automazione, le varie azioni che la regola può eseguire e le funzionalità rimanenti.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.

A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Progettare la regola di automazione

Prima di creare la regola di automazione, è consigliabile determinarne l'ambito e la progettazione, inclusi il trigger, le condizioni e le azioni che costituiscono la regola.

Determinare l'ambito

Il primo passaggio per la progettazione e la definizione della regola di automazione consiste nel capire a quali incidenti o avvisi si vuole applicare. Questa definizione influisce direttamente sulla modalità di creazione della regola.

È possibile anche determinare il caso d'uso. Cosa si sta tentando di eseguire con questa automazione? Valutare le opzioni seguenti:

Creare attività che gli analisti devono seguire per valutare, analizzare e correggere gli incidenti.
Elimina gli incidenti rumorosi. In alternativa, usare altri metodi per gestire i falsi positivi in Microsoft Sentinel.
Valutare i nuovi incidenti modificandone lo stato da Nuovo a Attivo e assegnando un proprietario.
Contrassegnare gli incidenti per classificarli.
Inoltrare un incidente assegnando un nuovo proprietario.
Chiudere gli incidenti risolti, specificando un motivo e aggiungendo commenti.
Esaminare il contenuto di un incidente (avvisi, entità e altre proprietà) e intraprendere altre azioni chiamando un playbook.
Gestire o rispondere a un avviso senza un incidente associato.

Determinare il trigger

Si vuole che questa automazione venga attivata quando vengono creati nuovi incidenti o avvisi? Oppure ogni volta che un incidente viene aggiornato?

Le regole di automazione vengono attivate quando viene creato o aggiornato un evento imprevisto o quando viene creato un avviso. Tenere presente che gli eventi imprevisti includono avvisi e che sia gli avvisi che gli eventi imprevisti possono essere creati dalle regole di analisi, di cui esistono diversi tipi, come illustrato in Rilevamento delle minacce in Microsoft Sentinel.

La tabella seguente illustra i diversi scenari possibili che causa l'esecuzione di una regola di automazione.

Tipo di trigger	Eventi che causano l'esecuzione della regola
Quando viene creato un incidente	Portale di Microsoft Defender: Viene creato un nuovo incidente nel portale di Microsoft Defender. Microsoft Sentinel non è stato eseguito l'onboarding nel portale di Defender: Un nuovo incidente viene creato da una regola di analisi. Un incidente viene inserito da Microsoft Defender XDR. Viene creato manualmente un nuovo incidente.
Quando viene aggiornato un incidente	Lo stato di un incidente viene modificato (chiuso/riaperto/triage). Il proprietario di un incidente viene assegnato o modificato. La gravità di un incidente viene generata o ridotta. Gli avvisi vengono aggiunti a un incidente. Commenti, tag o tattiche vengono aggiunti a un incidente.
Quando viene creato un avviso	Un avviso viene creato da una regola di analisi di Microsoft Sentinel pianificata o NRT.

Creare la regola di automazione

La maggior parte delle istruzioni seguenti si applica a tutti i casi d'uso per i quali verranno create regole di automazione.

Se si sta cercando di eliminare gli eventi imprevisti rumorosi e si sta lavorando nel portale di Azure, provare a gestire i falsi positivi.

Per creare una regola di automazione da applicare a una regola di analisi specifica, vedere Impostare risposte automatiche e creare la regola.

Per creare la regola di automazione:

Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione. Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione.
Nella pagina Automazione del menu di spostamento di Microsoft Sentinel selezionare Crea dal menu in alto e scegliere Regola di automazione.
- Portale di Defender
- Portale di Azure
Viene visualizzato il pannello Crea nuova regola di automazione . Nel campo Nome regola di automazione immettere un nome per la regola.

Scegliere il trigger

Nell'elenco a discesa Trigger selezionare il trigger appropriato in base alle circostanze per cui si sta creando la regola di automazione: quando viene creato l'evento imprevisto, Quando viene aggiornato l'evento imprevisto o Quando viene creato un avviso.

Screenshot della selezione del trigger di creazione o aggiornamento degli incidenti.

Definire le condizioni

Usare le opzioni nell'area Condizioni per definire le condizioni per la regola di automazione. Tutte le condizioni non fanno distinzione tra maiuscole e minuscole.

Le regole che crei per la creazione di un avviso supportano solo la proprietà If Analytic rule name nella tua condizione. Selezionare se si desidera che la regola sia inclusiva (contiene) o esclusiva (non contiene) e quindi selezionare il nome della regola analitica dall'elenco a discesa.

I valori dei nomi delle regole di analisi includono solo regole di analisi e non includono altri tipi di regole, ad esempio intelligence sulle minacce o regole di anomalie.
Le regole create per quando un incidente viene creato o aggiornato supportano un'ampia gamma di condizioni, a seconda dell'ambiente in uso. Queste opzioni iniziano con l'onboarding di Microsoft Sentinel nel portale di Defender:
- Integrato nel portale Defender
- Non registrato nel portale di Defender
Se l'area di lavoro viene eseguita l'onboarding nel portale di Defender, iniziare selezionando uno degli operatori seguenti, in Azure o nel portale di Defender:
- AND: singole condizioni valutate come gruppo. La regola viene eseguita se vengono soddisfatte tutte le condizioni di questo tipo.
  
  Per lavorare con l'operatore E, selezionare l'espansore + Aggiungi e scegliere la Condizione (E) dal menu a discesa. L'elenco delle condizioni viene popolato da campi proprietà entità e proprietà incidente.
- OR (noto anche come gruppi di condizioni): gruppi di condizioni, ognuno dei quali viene valutato in modo indipendente. La regola viene eseguita se uno o più gruppi di condizioni è true. Per informazioni su come usare questi tipi complessi di condizioni, vedere Aggiungere condizioni avanzate alle regole di automazione.
Ad esempio:
Se l'area di lavoro non viene eseguita l'onboarding nel portale di Defender, iniziare definendo le proprietà della condizione seguenti:
- Provider di eventi imprevisti: gli eventi imprevisti possono avere due origini possibili: possono essere create all'interno di Microsoft Sentinel e possono anche essere importate da e sincronizzate con Microsoft Defender XDR.
  
  Se è stato selezionato uno dei trigger di incidenti e si vuole che la regola di automazione venga applicata solo agli incidenti creati in Microsoft Sentinel o in alternativa, solo su quelli importati da Microsoft Defender XDR, specificare l'origine nella condizione Se il fornitore di incidenti è uguale a. (questa condizione è visualizzata solo se è selezionato un trigger di incidente).
- Nome della regola analitica: per tutti i tipi di trigger, se si desidera che la regola di automazione si applichi solo su determinate regole analitiche, specificare quali modificando la condizione Se il nome della regola analitica contiene. Questa condizione non viene visualizzata se Microsoft XDR è selezionato come provider di eventi imprevisti.
Continuare quindi selezionando uno degli operatori seguenti:
- AND: singole condizioni valutate come gruppo. La regola viene eseguita se vengono soddisfatte tutte le condizioni di questo tipo.
  
  Per lavorare con l'operatore E, selezionare l'espansore + Aggiungi e scegliere la Condizione (E) dal menu a discesa. L'elenco delle condizioni viene popolato da campi proprietà entità e proprietà incidente.
- OR (noto anche come gruppi di condizioni): gruppi di condizioni, ognuno dei quali viene valutato in modo indipendente. La regola viene eseguita se uno o più gruppi di condizioni è true. Per informazioni su come usare questi tipi complessi di condizioni, vedere Aggiungere condizioni avanzate alle regole di automazione.
Ad esempio:
Se si seleziona Quando un evento imprevisto viene aggiornato come trigger, iniziare definendo le condizioni e quindi aggiungendo operatori e valori aggiuntivi in base alle esigenze.

Per definire le condizioni:

Selezionare una proprietà nella prima casella a discesa a sinistra. È possibile iniziare a digitare qualsiasi parte di un nome di proprietà nella casella di ricerca per filtrare dinamicamente l'elenco, in modo da trovare rapidamente ciò che si sta cercando.

Selezionare un operatore dalla casella a discesa successiva a destra. Screenshot della selezione di un operatore della condizione per le regole di automazione.

L'elenco di operatori tra cui è possibile scegliere varia in base al trigger e alla proprietà selezionati. Quando si lavora nel portale di Defender, è consigliabile usare la condizione del nome della regola analitica anziché un titolo dell'evento imprevisto.

Condizioni disponibili con il trigger di creazione

Proprietà	Set operatore
- Titolo - Descrizione - Tutte le proprietà dell'entità elencate (vedere le proprietà dell'entità supportate)	- È uguale a/Non è uguale a - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con
- Tag (vedere individuo vs. collezione)	Qualsiasi tag singolo: - È uguale a/Non è uguale a - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con Raccolta di tutti i tag: - Contiene/Non contiene
- Severità - Stato - Chiave dettagli personalizzati	- È uguale a/Non è uguale a
- Tattiche - Nomi dei prodotti per gli avvisi - Valore dei dettagli personalizzato - Nome regola analitica	- Contiene/Non contiene

Condizioni disponibili con il trigger di aggiornamento

Proprietà	Set operatore
- Titolo - Descrizione - Tutte le proprietà dell'entità elencate (vedere le proprietà dell'entità supportate)	- È uguale a/Non è uguale a - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con
- Tag (vedere individuo vs. collezione)	Qualsiasi tag singolo: - È uguale a/Non è uguale a - Contiene/Non contiene - Inizia con/Non inizia con - Termina con/Non termina con Raccolta di tutti i tag: - Contiene/Non contiene
- Tag (oltre a sopra) - Avvisi - Commenti	- Aggiunto
- Severità - Stato	- È uguale a/Non è uguale a - Modificato - Modificato da - Modificato in
- Proprietario	- Modificato. Se il proprietario di un evento imprevisto viene aggiornato tramite API, è necessario includere userPrincipalName o ObjectID affinché la modifica venga rilevata dalle regole di automazione.
- Aggiornato da - Chiave dettagli personalizzati	- È uguale a/Non è uguale a
- Tattiche	- Contiene/Non contiene - Aggiunto
- Nomi dei prodotti per gli avvisi - Valore dei dettagli personalizzato - Nome regola analitica	- Contiene/Non contiene

Condizioni disponibili con il trigger di avviso

L'unica condizione che può essere valutata dalle regole in base al trigger di creazione dell'avviso è la regola di analisi di Microsoft Sentinel che ha creato l'avviso.

Le regole di automazione basate sul trigger di avviso sono eseguite solo sugli avvisi creati da Microsoft Sentinel.

Immettere un valore nel campo a destra. A seconda della proprietà scelta, potrebbe trattarsi di una casella di testo o di un elenco a discesa in cui si seleziona da un elenco chiuso di valori. Potrebbe anche essere possibile aggiungere diversi valori selezionando l'icona a forma di dado a destra della casella di testo.

Anche in questo caso, per l'impostazione di condizioni o complesse con campi diversi, vedere Aggiungere condizioni avanzate alle regole di automazione.

Condizioni basate sui tag

È possibile creare due tipi di condizioni basate sui tag:

Condizioni con qualsiasi singolo operatore di tag valuta il valore specificato rispetto a ogni tag nella raccolta. La valutazione è vera quando almeno un tag soddisfa la condizione.
Le condizioni con operatori Raccolta di tutti i tag controllano il valore specificato rispetto alla raccolta di tag come singola unità. La valutazione è true solo se la raccolta nel suo complesso soddisfa la condizione.

Per aggiungere una di queste condizioni in base ai tag di un incidente, seguire questa procedura:

Creare una nuova regola di automazione come descritto in precedenza.
Aggiungere una condizione o un gruppo di condizioni.
Selezionare Tag nell'elenco a discesa delle proprietà.
Selezionare l'elenco a discesa degli operatori per visualizzare gli operatori disponibili tra cui scegliere.
- Aree di lavoro di cui è stato eseguito l'onboarding
- Aree di lavoro non caricate
Vedere la suddivisione degli operatori in due categorie come descritto in precedenza. Scegliere attentamente l'operatore in base alla modalità di valutazione dei tag.

Per altre informazioni, vedere la proprietà Tag: singolo e raccolta a confronto.

Condizioni basate su dettagli personalizzati

È possibile impostare il valore di un dettaglio personalizzato visualizzato in un evento imprevisto come condizione di una regola di automazione. Tenere presente che i dettagli personalizzati sono punti dati nei record del registro eventi non elaborati che possono essere visualizzati e mostrati negli avvisi e negli incidenti generati da essi. Usare i dettagli personalizzati per ottenere il contenuto pertinente effettivo negli avvisi senza dover esaminare i risultati della query.

Per aggiungere una condizione in base a un dettaglio personalizzato:

Creare una nuova regola di automazione come descritto in precedenza.
Aggiungere una condizione o un gruppo di condizioni.
Selezionare Chiave dettagli personalizzati nell'elenco a discesa delle proprietà. Selezionare Corrisponde a o Non corrisponde a dall'elenco a discesa degli operatori.

Per la condizione dei dettagli personalizzati, i valori nell'ultimo elenco a discesa provengono dai dettagli personalizzati che sono stati visualizzati in tutte le regole di analisi elencate nella prima condizione. Selezionare i dettagli personalizzati da usare come condizione.
È stato scelto il campo da valutare per questa condizione. Specificare ora il valore visualizzato in tale campo che restituisce true questa condizione.
Selezionare + Aggiungi condizione dell'elemento.

La riga della condizione del valore viene visualizzata di seguito.
Selezionare Contiene o Non contiene nell'elenco a discesa degli operatori. Nella casella di testo a destra immettere il valore per il quale si desidera che la condizione restituisca true.

In questo esempio, se l'evento imprevisto ha i dettagli personalizzati DestinationEmail e se il valore di tale dettaglio è [email protected], verranno eseguite le azioni definite nella regola di automazione.

Aggiunta di azioni

Scegliere le azioni che si vogliono eseguire da questa regola di automazione. Le azioni disponibili includono Assegna proprietario, Cambia stato, Modifica gravità, Aggiungi tag ed Esegui playbook. È possibile aggiungere tutte le azioni desiderate.

Note

Solo l'azione Esegui playbook è disponibile nelle regole di automazione usando il trigger di avviso.

Screenshot dell'elenco di azioni da selezionare nella regola di automazione.

Per qualsiasi azione scelta, compilare i campi visualizzati per l'azione in base alle operazioni desiderate.

Se si aggiunge un'azione Esegui playbook , viene richiesto di scegliere dall'elenco a discesa dei playbook disponibili.

Solo i playbook che iniziano con il trigger dell'incidente possono essere eseguiti da regole di automazione usando uno dei trigger degli eventi imprevisti, quindi sono visualizzati solo nell'elenco. Analogamente, solo i playbook che iniziano con il trigger di avviso sono disponibili nelle regole di automazione usando il trigger di avviso.
A Microsoft Sentinel devono essere concesse autorizzazioni esplicite per eseguire i playbook. Se un playbook è visualizzato come non disponibile nell'elenco a discesa, significa che Sentinel non dispone delle autorizzazioni per accedere al gruppo di risorse del playbook. Per assegnare i permessi, selezionare il collegamento Gestisci i permessi del playbook.

Nel pannello Gestisci autorizzazioni visualizzato contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica.

È necessario disporre delle autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si vogliono concedere autorizzazioni di Microsoft Sentinel. È inoltre necessario avere il ruolo di Collaboratore automazione di Microsoft Sentinel in qualsiasi gruppo di risorse contenente i playbook che si desidera eseguire.
Se non si dispone ancora di un playbook che esegue l'azione desiderata, crearne uno nuovo. Sarà necessario uscire dal processo di creazione delle regole di automazione e riavviarlo dopo aver creato il playbook.

Spostare le azioni

È possibile modificare l'ordine delle azioni nella regola anche dopo averle aggiunte. Selezionare le frecce blu su o giù accanto a ogni azione per spostarla verso l'alto o verso il basso di un livello.

Screenshot che mostra come spostare le azioni verso l'alto o verso il basso.

Completare la creazione della regola

In Scadenza regola, se si desidera assegnare alla regola di automazione una scadenza, impostare una data di scadenza (e, facoltativamente, un orario). In caso contrario, lasciarlo indefinito.
Il campo Ordine viene precompilato con il prossimo numero disponibile per il tipo di trigger della regola. Questo numero determina il punto della sequenza di regole di automazione (dello stesso tipo di trigger) in cui viene eseguita questa regola. È possibile modificare il numero se si desidera che questa regola venga eseguita prima di una regola esistente.

Per altre informazioni, vedere Note sull'ordine di esecuzione e la priorità.
Selezionare Applica. L'operazione è completata.

Screenshot dei passaggi finali della creazione di una regola di automazione.

Controllare l'attività delle regole di automazione

È possibile trovare informazioni sulle regole di automazione che potrebbero essere state eseguite per un determinato evento imprevisto. È disponibile un record completo delle cronache degli eventi imprevisti nella tabella SecurityIncident nella pagina Log del portale di Azure o nella pagina Ricerca avanzata nel portale di Defender. Usare la query seguente per visualizzare tutte le attività delle regole di automazione:

SecurityIncident
| where ModifiedBy contains "Automation"

Esecuzione delle regole di automazione

Le regole di automazione vengono eseguite in sequenza, in base all'ordine determinato. Ogni regola di automazione viene eseguita al termine dell'esecuzione di quella precedente. All'interno di una regola di automazione, tutte le azioni vengono eseguite in sequenza nell'ordine in cui sono definite. Per altre informazioni, vedere Note sull'ordine di esecuzione e sulla priorità .

È possibile trattare le azioni del playbook all'interno di una regola di automazione in modo diverso in alcune circostanze, in base ai criteri seguenti:

Runtime del playbook	La regola di automazione passa all'azione successiva...
Meno di un secondo	Subito dopo il completamento del playbook
Meno di due minuti	Fino a due minuti dopo l'avvio dell'esecuzione del playbook, ma non più di 10 secondi dopo il completamento del playbook
Più di due minuti	Due minuti dopo l'inizio dell'esecuzione del playbook, indipendentemente dal fatto che sia stato completato o meno

Passaggi successivi

In questo documento si è appreso come usare le regole di automazione per gestire centralmente l'automazione delle risposte per gli incidenti e gli avvisi di Microsoft Sentinel.

Per informazioni su come aggiungere condizioni avanzate con OR operatori alle regole di automazione, vedere Aggiungere condizioni avanzate alle regole di automazione di Microsoft Sentinel.
Per altre informazioni sulle regole di automazione, vedere Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel con regole di automazione
Per altre informazioni sulle opzioni di automazione avanzate, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel.
Per informazioni su come usare le regole di automazione per aggiungere attività agli eventi imprevisti, vedere Creare attività di eventi imprevisti in Microsoft Sentinel usando le regole di automazione.
Per eseguire la migrazione dei playbook di attivazione degli avvisi per essere richiamati dalle regole di automazione, vedere Eseguire la migrazione dei playbook di attivazione degli avvisi di Microsoft Sentinel alle regole di automazione
Per assistenza con l'implementazione di regole di automazione e playbook, consultare Esercitazione: Usare i playbook per automatizzare le risposte alle minacce in Microsoft Sentinel.