Condividi tramite

Rispondere agli attori delle minacce durante l'analisi o la ricerca di minacce in Microsoft Sentinel nel portale di Azure

  • Si applica a: Microsoft Sentinel in the Azure portal

Questo articolo illustra come intraprendere azioni di risposta contro gli attori delle minacce sul posto, durante il corso di un'indagine o di una caccia alle minacce, senza interruzione o uscire dall'indagine o dalla caccia. Puoi ottenere questo risultato utilizzando playbook basati sul nuovo trigger di entità.

Il trigger di entità supporta attualmente i tipi di entità seguenti:

Importante

Il trigger di entità è attualmente in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Eseguire i playbook con il trigger di entità

Quando si sta analizzando un evento imprevisto e si determina che una determinata entità, ovvero un account utente, un host, un indirizzo IP, un file e così via, rappresenta una minaccia, è possibile eseguire azioni correttive immediate su tale minaccia eseguendo un playbook su richiesta. Puoi fare lo stesso se incontri entità sospette durante la ricerca proattiva di minacce al di fuori del contesto degli incidenti.

  1. Selezionare l'entità nel contesto in cui viene visualizzata e scegliere i mezzi appropriati per eseguire un playbook, come indicato di seguito:

    • Nel widget Entità della scheda Panoramica di un incidente nella nuova pagina dei dettagli dell'incidente (attualmente in anteprima), o nella scheda Entità, scegliere un'entità dall'elenco, selezionare i tre puntini accanto all'entità e selezionare Esegui playbook (anteprima) dal menu a comparsa.

      Screenshot della pagina dei dettagli dell'evento imprevisto.

      Screenshot della scheda entità nella pagina dei dettagli dell'incidente.

    • Nella scheda Entità di un incidente, scegliere l'entità dall'elenco e selezionare il collegamento Esegui playbook (anteprima) alla fine della sua riga nell'elenco.

      Screenshot della selezione di un'entità dalla pagina dei dettagli dell'incidente per eseguire un playbook su di essa.

    • Nel grafico Indagine, seleziona un'entità e nel pannello laterale della stessa entità, seleziona il pulsante Esegui playbook (anteprima).

      Screenshot della selezione di un'entità dal grafico delle indagini per eseguire un playbook su di essa.

    • Nella pagina Comportamento entità selezionare un'entità. Nella pagina dell'entità risultante selezionare il pulsante Esegui playbook (anteprima) nel pannello a sinistra.

      Screenshot di selezionare un'entità dalla pagina del comportamento dell'entità per eseguire un playbook su di essa.

      Screenshot della pagina dell'entità selezionata per applicare un playbook su un'entità.

  2. Questi apriranno tutti il >.

    Screenshot di Run playbook nel pannello delle entità.

    In uno di questi pannelli verranno visualizzate due schede: Playbooks e Esecuzioni.

  3. Nella scheda Playbook verrà visualizzato un elenco di tutti i playbook a cui si ha accesso e che usano il trigger di entità di Microsoft Sentinel per quel tipo di entità (in questo caso, gli account utente). Selezionare il pulsante Esegui per il playbook che si vuole eseguire immediatamente.

    Se non viene visualizzato il playbook che si vuole eseguire nell'elenco, significa che Microsoft Sentinel non dispone delle autorizzazioni per eseguire playbook in tale gruppo di risorse.

    Per concedere tali autorizzazioni, selezionare >. Nel pannello Gestisci autorizzazioni contrassegnare le caselle di controllo dei gruppi di risorse contenenti i playbook da eseguire e selezionare Applica.

    Per altre informazioni, vedere Autorizzazioni aggiuntive necessarie per l'esecuzione di playbook in Microsoft Sentinel.

  4. È possibile controllare l'attività dei playbook di trigger di entità nella scheda Esecuzioni . Verrà visualizzato un elenco di tutte le volte in cui è stato eseguito qualsiasi playbook sull'entità selezionata. Potrebbero essere necessari alcuni secondi per visualizzare qualsiasi esecuzione appena completata in questo elenco. Se si seleziona un'esecuzione specifica, verrà aperto il log di esecuzione completo in App per la logica di Azure.

Passaggi successivi

In questo articolo, hai imparato come eseguire manualmente i playbook per diminuire le minacce dalle entità minacciose durante l'analisi di un incidente o la ricerca delle minacce.