Creare ed eseguire attività impreviste in Microsoft Sentinel usando playbook

Questo articolo illustra come usare i playbook per creare e, facoltativamente, eseguire attività impreviste per gestire processi complessi del flusso di lavoro degli analisti in Microsoft Sentinel.

Usare l'azione Aggiungi attività in un playbook, nel connettore Microsoft Sentinel, per aggiungere automaticamente un'attività all'evento imprevisto che ha attivato il playbook. Sono supportati sia i flussi di lavoro Standard che i flussi di lavoro a consumo. Prima di iniziare, assicurarsi di soddisfare i prerequisiti, incluse le assegnazioni di ruolo necessarie.

Consiglio

Le attività degli eventi imprevisti possono essere create automaticamente non solo dai playbook, ma anche dalle regole di automazione e anche manualmente, ad hoc, dall'interno di un evento imprevisto.

Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.

Prerequisiti

Prima di iniziare, assicurarsi di avere i ruoli e le autorizzazioni seguenti:

  • Il ruolo Microsoft Sentinel Responder è necessario per visualizzare e modificare gli incidenti, operazione necessaria per aggiungere, visualizzare e modificare le attività.

  • Per creare e modificare i playbook, è necessario il ruolo Logic Apps Contributor.

Per altre informazioni, vedere prerequisiti del playbook di Microsoft Sentinel.

Usare un playbook per aggiungere un'attività ed eseguirla

La procedura di esempio seguente illustra come aggiungere azioni del playbook che reimpostano la password di un utente compromesso:

  • Aggiunge un'attività all'incidente per reimpostare la password di un utente compromesso
  • Aggiunge un'altra azione del playbook per inviare un segnale a Microsoft Entra ID Protection (AADIP) affinché reimposti effettivamente la password
  • Aggiunge un'azione finale del playbook per contrassegnare il completamento dell'attività nell'evento imprevisto.

Per aggiungere e configurare le azioni di creazione di attività, reimpostazione della password e completamento attività, seguire questa procedura:

  1. Nel connettore Microsoft Sentinel, aggiungi l'azione Aggiungi attività all'incidente e quindi:

    1. Seleziona l'elemento di contenuto dinamico ID ARM incidente per il campo ID ARM incidente.

    2. Immettere Reimposta password utente come Titolo.

    3. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Schermata che mostra le azioni del playbook per aggiungere un'attività di reimpostazione della password di un utente.

  2. Aggiungere l'azione Entità - Recupera account (anteprima). Aggiungere l'elemento contenuto dinamico Entities (dallo schema dell'evento imprevisto Microsoft Sentinel) al campo Elenco entità. Ad esempio:

    La schermata mostra le azioni del playbook per recuperare le entità dell'account nell'incidente.

  3. Aggiungi un ciclo For each dalla libreria di azioni Control. Aggiungere l'elemento contenuto dinamico Accounts dall'output Entities - Get Accounts al campo Select an output from previous steps (Selezionare un output dai passaggi precedenti ). Ad esempio:

    La schermata mostra come aggiungere un'azione di ciclo for-each a un playbook per eseguire un'azione su ogni account individuato.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione. In seguito:

    1. Cercare e selezionare il connettore Microsoft Entra ID Protection
    2. Selezionare l'azione Conferma un utente rischioso come compromesso (anteprima).
    3. Aggiungere l'elemento di contenuto dinamico ID utente di Accounts Microsoft Entra al campo userIds Item - 1.

    L'azione Conferma un utente a rischio come compromesso avvia i processi all'interno di Microsoft Entra ID Protection per reimpostare la password dell'utente.

    Schermata che mostra l'invio di entità ad AADIP per confermare la compromissione.

    Nota

    Il campo Account Microsoft Entra ID utente è un modo per identificare un utente in AADIP. Potrebbe non essere necessariamente il modo migliore in ogni scenario, ma viene portato qui solo come esempio.

    Per assistenza, consultare altri playbook che trattano gli utenti compromessi o la documentazione di Microsoft Entra ID Protection.

  5. Aggiungere l'azione Contrassegna un'attività come completata dal connettore Microsoft Sentinel e aggiungere l'elemento di contenuto dinamico ID attività dell'incidente nel campo ID ARM dell'attività. Ad esempio:

    Screenshot che mostra come aggiungere un'azione playbook per contrassegnare il completamento di un'attività imprevista.

Usare un playbook per aggiungere un'attività in base a una condizione

La seguente procedura di esempio illustra come aggiungere un'azione del playbook che analizza un indirizzo IP che compare in un incidente.

  • Se i risultati di questa ricerca sono che l'indirizzo IP è dannoso, il playbook crea un'attività per l'analista per disabilitare l'utente usando tale indirizzo IP.
  • Se l'indirizzo IP non è un indirizzo dannoso noto, il playbook crea un'attività diversa per consentire all'analista di contattare l'utente per verificare l'attività.

Per aggiungere e configurare la condizione IP-research e le azioni di creazione condizionale delle attività, seguire questa procedura:

  1. Dal connettore Microsoft Sentinel aggiungere l'azione Entità - Ottieni INDIRIZZI IP. Aggiungere l'elemento contenuto dinamico Entities (dallo schema dell'evento imprevisto Microsoft Sentinel) al campo Elenco entità. Ad esempio:

    La schermata mostra le azioni del playbook per ottenere le entità dell'indirizzo IP nell'incidente.

  2. Aggiungi un ciclo For each dalla libreria di azioni Control. Aggiungi l'elemento di contenuto dinamico IP dall'output Entities - Get IPs al campo Seleziona un output dai passaggi precedenti. Ad esempio:

    La schermata mostra come aggiungere un'azione di ciclo for-each a un playbook per eseguire un'azione su ogni indirizzo IP individuato.

  3. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Cercare e selezionare il connettore Virus Total.
    2. Seleziona l'azione Ottieni un report IP (Anteprima).
    3. Aggiungi l'elemento di contenuto dinamico Indirizzo IP dall'output Entities - Get IPs al campo Indirizzo IP.

    Ad esempio:

    Screenshot che mostra l'invio di una richiesta a Virus Total per il report dell'indirizzo IP.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Aggiungere una condizione dalla libreria azioni di controllo .
    2. Aggiungere l'elemento di contenuto dinamico Statistiche dell'ultima analisi: dannoso nell'output di Ottieni un report IP. Potrebbe essere necessario selezionare Visualizza altro per trovarlo.
    3. Selezionare l'operatore è maggiore di e immettere 0 come valore.

    La condizione Ultime statistiche di analisi: Malicious è maggiore di 0 verifica se il report IP di VirusTotal ha restituito risultati malevoli. Ad esempio:

    La schermata mostra come impostare una condizione vero/falso in un playbook.

  5. All'interno dell'opzione True selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività all'evento imprevisto dal connettore Microsoft Sentinel.
    2. Seleziona l'elemento di contenuto dinamico ID ARM incidente per il campo ID ARM incidente.
    3. Inserire Contrassegna l'utente come compromesso come Titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    La schermata mostra le azioni del playbook per aggiungere un'attività che contrassegna un utente come compromesso.

  6. All'interno dell'opzione False selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività all'evento imprevisto dal connettore Microsoft Sentinel.
    2. Seleziona l'elemento di contenuto dinamico ID ARM incidente per il campo ID ARM incidente.
    3. Immetti Contatta l'utente per confermare l'attività come Titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Schermata che mostra le azioni del playbook per aggiungere un'attività affinché l'utente confermi l'attività.