Scopri come l’automazione avanzata dei playbook su richiesta può migliorare l’efficacia del SOC nella gestione degli incidenti con Microsoft Sentinel.
L’automazione rappresenta un elemento cruciale per l’efficienza di un SOC (Security Operations Center), permettendo di risparmiare tempo prezioso e di concentrare l’attenzione sulle attività più importanti. Siamo lieti di annunciare che la funzione per eseguire playbook su richiesta nelle indagini sugli incidenti è ora disponibile in General Availability!
Esegui playbook come parte dell’investigazione e risposta agli incidenti
Le regole di automazione sono estremamente utili per gestire i compiti successivi alla creazione di un incidente. Queste regole possono includere l’identificazione e la chiusura di falsi positivi per ridurre il rumore nella coda degli incidenti, l’arricchimento di un incidente con informazioni di intelligence sulle minacce, l’orchestrazione della risposta a un incidente tra diversi team o l’adozione di azioni rapide per mitigare una compromissione, come il reset forzato di una password o l’isolamento di un endpoint dalla rete.
In molti casi, tuttavia, i team preferiscono che alcune operazioni siano governate da decisioni umane. Ad esempio, durante l’investigazione di un incidente, gli analisti potrebbero utilizzare una lista di azioni di rimedio, raccogliere informazioni di supporto e correlare diversi insight, portandoli a intraprendere diverse azioni a loro discrezione. In alcuni SOC, si preferisce che gli analisti eseguano le azioni quando necessario, anche se potrebbero essere completamente automatizzate, per garantire che vengano adottate le azioni corrette ogni volta.
Ora, i playbook possono diventare uno strumento anche per il processo decisionale manuale, disponibile per i clienti di Microsoft Sentinel sia nei portali Azure che Defender. Con la possibilità di creare un playbook che racchiuda i passaggi per rispondere a un incidente, applicandolo però solo su richiesta, vi è una nuova flessibilità nella gestione del momento in cui viene intrapresa un’azione. Questi playbook possono essere archiviati in un gruppo di risorse dedicato al quale gli analisti hanno accesso (o possono ottenere accesso a playbook individuali indipendentemente). Durante la gestione degli incidenti, gli analisti possono in qualsiasi momento aprire il pannello laterale del playbook e lanciare un playbook dalla loro lista.
Vantaggi della nuova funzionalità
Con questa nuova capacità, i SOC possono gestire meglio la risposta, creare più flussi di lavoro per il loro team per garantire che tutte le azioni appropriate vengano intraprese e avere maggiore potere decisionale basato sul contesto di un incidente. La piattaforma unificata delle operazioni SOC può ora sfruttare le centinaia di modelli di playbook disponibili all’interno della galleria dei contenuti, permettendo di iniziare a trarre vantaggio dall’automazione il più rapidamente possibile.
Utilizzo dei modelli di playbook
Per ulteriori informazioni su come creare un playbook da un modello di playbook, vi invitiamo a visitare il seguente link: Utilizzo dei modelli di playbook di Microsoft Sentinel.
Se è necessaria una logica più specifica, è possibile creare un playbook da zero utilizzando la nostra scheda di automazione: Create -> Playbook con trigger incidente.
Per istruzioni dettagliate su come creare un incidente da zero, visita il seguente link: Creazione di playbook da zero per gli incidenti.
Dopo aver creato il playbook desiderato, navigate alla pagina degli incidenti e selezionate un incidente. Dal pannello dei dettagli dell’incidente che appare a lato, scegliete “Esegui Playbook”.
Potrete visualizzare un elenco di tutti i playbook disponibili; selezionate quello che volete attivare. Per istruzioni dettagliate sull’avvio di un playbook su richiesta, visitate il seguente link: Esecuzione manuale di playbook su incidenti.