Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive uno scenario di esempio di come è possibile usare un playbook e una regola di automazione per automatizzare la risposta agli eventi imprevisti e correggere le minacce alla sicurezza. Le regole di automazione consentono di valutare gli eventi imprevisti in Microsoft Sentinel e vengono usate anche per eseguire playbook in risposta a eventi imprevisti o avvisi. Per altre informazioni, vedere Automazione in Microsoft Sentinel: Orchestrazione della sicurezza, automazione e risposta (SOAR).
Lo scenario di esempio descritto in questo articolo descrive come usare una regola di automazione e un playbook per arrestare un utente potenzialmente compromesso quando viene creato un evento imprevisto.
Note
Poiché i playbook usano App per la logica di Azure, possono essere applicati costi aggiuntivi. Visitare la pagina dei prezzi delle Azure Logic Apps per ulteriori dettagli.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Prerequisiti
I ruoli seguenti sono necessari per usare App per la logica di Azure per creare ed eseguire playbook in Microsoft Sentinel.
| Ruolo | Descrizione |
|---|---|
| Proprietario | Consente di concedere l'accesso ai playbook nel gruppo di risorse. |
| Collaboratore di Microsoft Sentinel | Consente di collegare un playbook a una regola di analisi o di automazione. |
| Risponditore di Microsoft Sentinel | Consente di accedere a un evento imprevisto per eseguire manualmente un playbook, ma non consente di eseguire il playbook. |
| Operatore playbook di Microsoft Sentinel | Consente di eseguire manualmente un playbook. |
| Collaboratore all'automazione di Microsoft Sentinel | Consente alle regole di automazione di eseguire playbook. Questo ruolo non viene usato per altri scopi. |
La tabella seguente descrive i ruoli necessari in base alla selezione di un'app per la logica a consumo o standard per creare il playbook:
| App per la logica | Ruoli di Azure | Descrizione |
|---|---|---|
| Consumo | Collaboratore per app per la logica | Modificare e gestire le app per la logica. Esegui playbook. Non consente di concedere l'accesso ai playbook. |
| Consumo | Operatore di Logic App | Leggere, abilitare e disabilitare le app per la logica. Non consente di modificare o aggiornare le app per la logica. |
| Normale | Operatore standard di Logic Apps | Abilitare, inviare di nuovo e disabilitare i flussi di lavoro in un'app per la logica. |
| Normale | Sviluppatore standard di App per la logica | Creare e modificare app per la logica. |
| Normale | Collaboratore standard di Logic Apps | Gestire tutti gli aspetti di un'app per la logica. |
Nella scheda Playbook attivi della pagina Automazione vengono visualizzati tutti i playbook attivi disponibili in tutte le sottoscrizioni selezionate. Per impostazione predefinita, un playbook può essere usato solo all'interno della sottoscrizione a cui appartiene, a meno che non si concedano specificamente le autorizzazioni di Microsoft Sentinel al gruppo di risorse del playbook.
Autorizzazioni aggiuntive necessarie per eseguire playbook sugli incidenti
Microsoft Sentinel usa un account del servizio per eseguire playbook sugli incidenti, per aggiungere sicurezza e abilitare l'API delle regole di automazione per supportare i casi d'uso CI/CD. Questo account del servizio viene usato per i playbook attivati da incidenti o quando si esegue manualmente un playbook in un incidente specifico.
Oltre ai propri ruoli e autorizzazioni, questo account del servizio Microsoft Sentinel deve avere un proprio set di autorizzazioni per il gruppo di risorse in cui risiede il playbook, sotto forma di ruolo Collaboratore automazione di Microsoft Sentinel . Quando Microsoft Sentinel ha questo ruolo, può eseguire qualsiasi playbook nel gruppo di risorse pertinente, manualmente o da una regola di automazione.
Per concedere a Microsoft Sentinel le autorizzazioni necessarie, è necessario disporre di un ruolo di amministratore di accesso proprietario o utente . Per eseguire i playbook, è necessario anche il ruolo Collaboratore app per la logica nel gruppo di risorse che contiene i playbook da eseguire.
Arrestare gli utenti potenzialmente compromessi
I team Centro operazioni per la sicurezza vogliono assicurarsi che gli utenti potenzialmente compromessi non possano spostarsi nella rete e rubare informazioni. È consigliabile creare una risposta automatizzata e con più facet per gli eventi imprevisti generati da regole che rilevano utenti compromessi in modo da gestire tali scenari.
Configurare la regola di automazione e il playbook per usare il flusso seguente:
Viene creato un evento imprevisto per un utente potenzialmente compromesso e viene attivata una regola di automazione per chiamare il playbook.
Il playbook apre un ticket nel sistema di ticket IT, ad esempio ServiceNow.
Inoltre il playbook invia un messaggio al canale delle operazioni di sicurezza in Microsoft Teams o Slack per assicurarsi che i propri analisti della sicurezza siano a conoscenza dell'evento imprevisto.
Il playbook invia anche tutte le informazioni relative all'incidente in un'email all'amministratore di rete senior e all'amministratore di sicurezza. L'email include i pulsanti opzione Blocca e Ignora utente.
Il playbook attende fino a quando non viene ricevuta una risposta dagli amministratori, quindi continua con i passaggi successivi.
Se gli amministratori scelgono Blocca, il playbook invia un comando a Microsoft Entra ID per disabilitare l'utente e uno al firewall per bloccare l'indirizzo IP.
Se gli amministratori scelgono Ignora, il playbook chiude l'evento imprevisto in Microsoft Sentinel e il ticket in ServiceNow.
Lo screenshot seguente mostra le azioni e le condizioni da aggiungere nel corso della creazione di questo playbook di esempio:
