Introduzione a Microsoft Sentinel
Microsoft Sentinel è una soluzione di Security Information and Event Management (SIEM) e Security Orchestration, Automation, and Response (SOAR) basata su cloud, progettata per aiutare le organizzazioni a monitorare, rilevare e rispondere alle minacce alla sicurezza nelle loro infrastrutture IT. Fa parte della piattaforma Microsoft Azure ed è pensata per la gestione centralizzata della sicurezza in ambienti complessi e diversificati.
Microsoft Sentinel raccoglie, analizza e correla dati provenienti da diverse fonti, come endpoint, server, dispositivi di rete, applicazioni cloud e altri sistemi. Questi dati sono raccolti da log e flussi di eventi e vengono analizzati per individuare attività sospette o potenziali minacce.
Utilizzando l’intelligenza artificiale e il machine learning, Sentinel è in grado di identificare comportamenti anomali e attività potenzialmente dannose. Si avvale di modelli predefiniti per analizzare i dati in tempo reale e rilevare attacchi sofisticati che potrebbero sfuggire a sistemi di monitoraggio tradizionali.
Sentinel può essere utilizzato per orchestrare risposte automatiche a incidenti di sicurezza, come isolare dispositivi compromessi o notificare il personale IT. Le funzionalità di automazione e orchestrazione consentono di creare playbook per rispondere rapidamente e in modo efficiente alle minacce rilevate.
La piattaforma fornisce strumenti avanzati per investigare gli incidenti di sicurezza, correlare eventi tra diverse fonti e ricostruire il contesto delle minacce. Gli analisti possono ottenere una visione dettagliata degli attacchi per adottare azioni appropriate.
Microsoft Sentinel offre dashboard interattivi e report personalizzabili che aiutano gli amministratori a monitorare lo stato della sicurezza in tempo reale e a prendere decisioni informate sulla base di analisi approfondite.
Vantaggi di Microsoft Sentinel
Sentinel è una soluzione basata su Azure, il che significa che non richiede infrastruttura locale per l’implementazione. È altamente scalabile e può adattarsi facilmente alle esigenze di grandi o piccole organizzazioni, senza la necessità di hardware aggiuntivo. Si integra perfettamente con altri servizi di Microsoft, come Microsoft 365, Azure AD e Defender, nonché con altre soluzioni di terze parti. Questa integrazione consente un monitoraggio e una gestione più efficaci delle risorse e degli utenti.
Grazie alle funzionalità SOAR, Sentinel consente di automatizzare molte delle attività di risposta agli incidenti, riducendo la necessità di interventi manuali e diminuendo il tempo necessario per risolvere i problemi di sicurezza. Ciò aiuta a migliorare l’efficienza operativa e a ridurre il tempo di risposta.
Sentinel utilizza intelligenza artificiale e machine learning per analizzare i dati in tempo reale, identificando schemi di comportamento anomali e potenziali minacce che potrebbero passare inosservate. Questo approccio proattivo consente di anticipare e mitigare attacchi più sofisticati.
Essendo una soluzione basata su cloud, non è necessario investire in hardware costoso o in server fisici. Inoltre, la scalabilità e la possibilità di pagare in base all’uso riducono i costi associati alla gestione di un’infrastruttura SIEM on-premises. Sentinel fornisce una visione centralizzata di tutti gli eventi di sicurezza che si verificano nell’ambiente IT, migliorando la consapevolezza della situazione e consentendo una migliore gestione della sicurezza. Può aggregare dati da più fonti, tra cui log di rete, dispositivi endpoint e applicazioni cloud.
In più, Microsoft Sentinel beneficia della vasta base di dati di intelligence delle minacce di Microsoft, derivata dalle numerose fonti di telemetria globali. Ciò consente di disporre di informazioni aggiornate sulle nuove minacce e sulle tecniche di attacco emergenti.
Implementazione di Microsoft Sentinel
Per implementare Microsoft Sentinel il primo passo è accedere al portale di Azure con le vostre credenziali. È importante utilizzare un account che abbia privilegi sufficienti, come quelli di un Administrator o di Security Contributor. Una volta effettuato l’accesso, sarà necessario creare o selezionare un Log Analytics workspace. Questo workspace è essenziale perché Sentinel utilizza questo spazio per raccogliere e analizzare i dati relativi alla sicurezza.
Dal portale di Azure, cercate Log Analytics workspace nella barra di ricerca e selezionate l’opzione appropriata. Se non avete un workspace esistente, è possibile crearne uno nuovo cliccando su + Create. Durante il processo di creazione, dovrete specificare la subscription e il resource group desiderato, assegnare un nome al workspace e selezionare la regione. È importante scegliere una regione vicina per garantire migliori prestazioni. Una volta completato questo passaggio, cliccate su “Rivedi e crea” e poi su “Crea” per finalizzare la configurazione del workspace.
Dopo aver creato il Log Analytics workspace, cercate Microsoft Sentinel nel portale di Azure e selezionate l’opzione dall’elenco dei risultati. A questo punto, per attivare Sentinel su uno specifico workspace, cliccate su Create Microosft Sentinel e selezionate il workspace creato in precedenza o uno già esistente. Dopo aver scelto il workspace, cliccate su Add per completare l’attivazione di Microsoft Sentinel.
Figura 1: Creazione di Microsoft Sentinel
Figura 2: Aggiunta di Microsoft Sentinel ad un workspace già esistente di Log Analytics
Figura 3: Attivazione della versione di prova di Microsoft Sentinel
Il Content Hub di Microsoft Sentinel è una risorsa all’interno della piattaforma Azure che fornisce agli utenti una vasta raccolta di contenuti di sicurezza predefiniti e configurabili. Questi contenuti comprendono connettori di dati, playbook di automazione, regole di analisi, workbook, modelli di machine learning e altre risorse utili per migliorare la visibilità sulla sicurezza e facilitare la gestione degli incidenti.
Il Content Hub ha lo scopo di facilitare l’implementazione e l’uso di Microsoft Sentinel, offrendo una serie di strumenti e configurazioni pronte all’uso per adattare la piattaforma alle esigenze specifiche della vostra organizzazione. Essenzialmente, è un catalogo da cui potete selezionare diversi “pacchetti” o soluzioni specifiche per determinati casi d’uso. Contiene diverse soluzioni di sicurezza pronte all’uso, create sia da Microsoft sia dai suoi partner. Ogni soluzione include un set di risorse che possono essere importate direttamente in Sentinel per ampliare la capacità di monitoraggio della vostra infrastruttura. Ad esempio, ci sono soluzioni che integrano connettori per servizi specifici (come AWS, Office 365, o strumenti di rete di terze parti) che aiutano a raccogliere i dati direttamente in Sentinel.
Il Content Hub include pacchetti pensati per diversi settori, come quello finanziario, sanitario o governativo. Ogni pacchetto contiene regole di rilevamento e playbook specifici che aiutano a gestire le minacce e le conformità tipiche del settore. Potrete quindi selezionare contenuti specifici che riflettono meglio i rischi e le necessità della vostra realtà aziendale. Tramite il Content Hub, è possibile aggiungere connettori di dati per raccogliere log e informazioni di sicurezza da numerose fonti, sia on-premises che cloud. Questo rende l’integrazione dei diversi servizi più semplice e immediata, riducendo il tempo di configurazione e garantendo che Microsoft Sentinel riceva tutte le informazioni necessarie per monitorare le minacce.
Figura 4: Content Hub di Microsoft Sentinel
Azure Activity è una soluzione gratuita disponibile in Microsoft Sentinel che consente di raccogliere e analizzare i log relativi alle attività di Azure. Questi log includono informazioni su operazioni di gestione come creazioni, aggiornamenti o eliminazioni di risorse all’interno del vostro ambiente Azure, fornendo una visione dettagliata di chi ha fatto cosa e quando, all’interno della vostra infrastruttura.
Dopo aver selezionato la soluzione di vostra scelta fate clic su Install.
Figura 5: Installazione della soluzione di Azure Activity
Figura 6: Installazione della soluzione di Azure Activity avvenuta con successo
Dopo aver fatto clic su Manage per la soluzione Azure Activity in Microsoft Sentinel, accederete a una pagina che vi consente di gestire tutti i dettagli della configurazione e dell’integrazione della soluzione con il vostro workspace di Sentinel. Da questa sezione potrete effettuare varie attività di configurazione, come la gestione delle regole di analisi, l’impostazione dei workbook per visualizzare i dati, e la configurazione di altre componenti che fanno parte di Azure Activity.
Potrete verificare lo stato del connettore di dati per Azure Activity e confermare che i log delle attività vengano raccolti correttamente nel Log Analytics workspace. Se necessario, potete apportare modifiche alla configurazione, ad esempio aggiungendo o rimuovendo le subscription di Azure che inviano dati.
Figura 7: Gestione della soluzione di Azure Activity
La soluzione scelta sarà visibile anche nella sezione Configuration > Data connectors.
Figura 8: Sezione dei Data connectors
Cliccando su “Open Connector page” per la soluzione Azure Activity, sarete indirizzati alla pagina del connettore dedicato a gestire la configurazione dettagliata della raccolta dei dati. In questa pagina, potete vedere e gestire l’integrazione dei log di attività di Azure con Microsoft Sentinel. Nella pagina troverete i prerequisiti necessari per integrare correttamente Azure Activity con Microsoft Sentinel e assicurarsi che la raccolta dei dati avvenga senza problemi.
Il connettore per Azure Activity utilizza Azure Policy per applicare una configurazione di log-streaming (ossia, la raccolta dei log di attività) a una raccolta di subscription, definite come scope (ambito). Questo approccio è utile per applicare automaticamente le impostazioni di raccolta dei log sia alle subscription attuali che a quelle future. Questo significa che, invece di configurare manualmente ogni singola subscription, potete usare una policy per rendere la configurazione automatica e coerente su tutte le subscription. Per procedere, dovete avviare il wizard di Azure Policy Assignment. Questo strumento vi guiderà nella creazione e applicazione della policy. La policy gestirà l’applicazione delle impostazioni di streaming dei log a tutte le subscription definite.
Figura 9: Lancio del wizard di Azure Policy Assignment per la configurazione del connettore di Azure Policy
Nella scheda Basics troverete un pulsante con tre puntini (spesso chiamato “ellissi”) sotto l’opzione Scope. Dovete cliccare su quel pulsante per selezionare le subscription e i gruppi di risorse a cui volete applicare la policy. Lo scope rappresenta l’ambito su cui verrà applicata la policy e può includere singole subscription o un insieme di risorse. Io ho selezionato l’intera sottoscrizione.
Figura 10: Scheda Basics del wizard di Azure Policy Assignment
Nella scheda Advanced troverete opzioni che vi permettono di personalizzare ulteriormente la modalità di applicazione della policy e la gestione della conformità in un contesto più dettagliato. È possibile specificare se desiderate escludere determinate subscription o resource group dall’applicazione della policy. Questa funzione è utile se, per qualche motivo, avete delle risorse per le quali non volete che la configurazione di log-streaming sia applicata. Potete definire delle esclusioni per evitare che la policy venga applicata a determinati ambiti, mantenendo una maggiore flessibilità.
Figura 11: Scheda Advanced del wizard di Azure Policy Assignment
Successivamente, passate alla scheda Parameters. In questa sezione, troverete un elenco a discesa chiamato Log Analytics workspace dove dovete selezionare il workspace di Microsoft Sentinel. Questo workspace è quello in cui verranno inviati i log delle attività raccolti.
Figura 12: Scheda Parameters del wizard di Azure Policy Assignment
Nella scheda Remediation avrete la possibilità di applicare la policy non solo alle future subscription, ma anche a quelle già esistenti. Dovete quindi selezionare la casella Create a remediation task. Questo creerà un’azione di rimedio che applicherà la policy alle risorse esistenti che non sono ancora conformi. Questo passaggio è utile per assicurarsi che tutte le risorse attuali siano allineate alle nuove impostazioni di log-streaming.
Figura 13: Scheda Remediation del wizard di Azure Policy Assignment
La scheda Non-compliance messages vi permetterà di configurare i messaggi che verranno visualizzati quando una risorsa non è conforme alla policy che avete applicato. Questo è utile per comunicare in maniera chiara il motivo per cui una risorsa è stata contrassegnata come non conforme e quali azioni potrebbero essere necessarie per correggere la situazione. Il messaggio serve per fornire indicazioni immediate e utili, specialmente a chi potrebbe non essere esperto delle policy di Azure.
Un esempio di un messaggio di non-conformità potrebbe essere: “La configurazione corrente non è conforme alla policy aziendale che richiede la registrazione di tutti gli eventi di attività al Log Analytics workspace di Microsoft Sentinel. Vi preghiamo di verificare la configurazione e aggiornare le impostazioni per includere il workspace di riferimento.”
Figura 14: Scheda Non-compliance messages del wizard di Azure Policy Assignment
Completate il wizard facendo clic su Create.
Figura 15: Completamento del wizard di Azure Policy Assignment
Figura 16: Creazione delle risorse necessarie completata
Dopo aver completato la configurazione della policy e creato i remediation task, è necessario attendere circa 15 minuti affinché il connettore Azure Activity risulti completamente connesso e affinché i primi dati inizino a essere inviati al workspace di Microsoft Sentinel.
Questo ritardo è dovuto al tempo necessario perché la policy venga applicata a tutte le risorse incluse nello scope. Durante questo periodo, Azure sta sincronizzando le configurazioni, applicando le impostazioni necessarie e iniziando a raccogliere i log dalle subscription. Una volta che il connettore è correttamente configurato e la policy è attiva, i log di attività delle vostre risorse Azure inizieranno a essere trasmessi al workspace di Sentinel.
Dopo il periodo di attesa, potete verificare lo stato del connettore andando nella pagina dei Data Connectors di Microsoft Sentinel. Il connettore Azure Activity dovrebbe apparire come connesso e sarà possibile vedere una serie di eventi che iniziano ad arrivare.
NOTA: Se il connettore non appare connesso o se non vedete dati dopo il periodo di attesa, può essere utile verificare la configurazione, controllare i permessi (specialmente i role assignments) e assicurarsi che la policy sia stata effettivamente applicata correttamente a tutte le subscription previste.
Figura 17: Il connettore è connesso e riceve i dati di log delle attività di Azure
Creazione di una regola di analisi per monitorare specifici eventi
L’obiettivo è configurare una regola di analisi che possa monitorare specifici eventi relativi alle attività su Azure, come la creazione o la modifica di risorse, fornendo avvisi quando avvengono azioni che potrebbero essere di interesse per la sicurezza o per la governance.
Una regola di analisi in Microsoft Sentinel serve per rilevare automaticamente eventi e comportamenti anomali nei dati di sicurezza raccolti, e per generare avvisi e incidenti che aiutano il team di sicurezza a identificare potenziali minacce e a rispondere prontamente. In parole semplici, una regola di analisi è uno strumento per la rilevazione delle minacce che monitora costantemente i dati in cerca di segni di attività sospette, attivando notifiche o azioni automatiche quando vengono individuate.
Dal nodo Configuration cliccate Analytics. La scheda “Active Rules” all’interno della sezione Analytics di Microsoft Sentinel mostra tutte le regole di analisi che sono attualmente attive e in esecuzione. Queste regole vengono utilizzate per monitorare costantemente i dati di sicurezza e rilevare attività sospette o non conformi nel vostro ambiente IT.
La scheda Active Rules vi permette di verificare rapidamente quali regole sono attive e se funzionano come previsto. Potete, ad esempio, controllare quanti avvisi sono stati generati da una specifica regola nel corso del tempo. Questo vi aiuta a capire se le configurazioni delle regole sono appropriate o se ci sono troppi (o troppo pochi) avvisi generati, il che potrebbe indicare un problema con i criteri impostati o la necessità di ulteriori ottimizzazioni. Potete anche attivare o disattivare una regola direttamente dalla scheda “Active Rules”. Se una specifica regola genera troppi falsi positivi o non è più rilevante per la vostra configurazione di sicurezza, potete scegliere di disattivarla temporaneamente o definitivamente. Questo aiuta a mantenere una gestione efficiente degli avvisi e ridurre il rumore causato da avvisi non necessari.
Figura 18: Scheda “Active Rules” all’interno della sezione Analytics di Microsoft Sentinel
La scheda Rule Templates è una sezione importante che contiene una raccolta di modelli predefiniti di regole di analisi. Questi template sono progettati per facilitare la creazione e l’implementazione di regole di analisi, fornendo configurazioni pronte all’uso per rilevare minacce e comportamenti sospetti nell’ambiente IT. I modelli di regole sono creati da Microsoft e da partner della sicurezza per aiutare gli utenti a implementare rapidamente funzionalità di monitoraggio specifiche, senza dover scrivere manualmente query o regole da zero.
Sebbene questi template siano predefiniti, potete anche personalizzarli prima di attivarli. Potete modificare parametri come la frequenza di esecuzione, il periodo di analisi, la gravità degli avvisi, o la logica della query (scritta in Kusto Query Language, KQL). Questo vi consente di adattare il modello alle esigenze e alle peculiarità del vostro ambiente.
Uno degli obiettivi principali dei modelli di regola è quello di velocizzare il processo di implementazione. Se siete nuovi su Microsoft Sentinel o se volete aggiungere nuove regole rapidamente, i template vi permettono di farlo senza dover configurare manualmente ogni dettaglio. Potete selezionare un template, verificarne le configurazioni e quindi creare una regola attiva basata su di esso.
Per utilizzare un modello, selezionatelo e fate clic su Crea regola. Questo aprirà il pannello di configurazione della regola di analisi, già precompilato con le informazioni del template. Potrete quindi personalizzarlo per adattarlo al vostro ambiente specifico.
Figura 19: Creazione di una regola partendo da un modello
Quando aprite il modello Microsoft Sentinel caricherà tutte le impostazioni predefinite del template. Qui potete personalizzare ulteriormente la regola in base alle vostre esigenze. Cambiate il nome della regola per riflettere meglio la sua funzione nel vostro ambiente. Potete anche modificare la descrizione per adattarla al contesto specifico della vostra azienda. Potete modificare la gravità degli avvisi generati dalla regola. Questo può essere impostato su Low, Medium, High, o Informational, in base alla criticità dell’attività che state monitorando.
Figura 20: Creazione di una nuova regola di monitoraggio partendo da un template
Ogni regola di analisi si basa su una query Kusto Query Language (KQL). Il modello caricherà una query predefinita. Se necessario, potete modificare la query per adattarla alle vostre esigenze particolari, come cambiando parametri specifici o aggiungendo filtri. Dovrete anche impostare la frequenza di esecuzione della regola. Questo determina quanto spesso Sentinel deve eseguire la query per cercare eventuali comportamenti anomali (ad esempio, ogni 5 minuti, ogni 15 minuti, ecc.). Potete anche impostare il periodo di analisi (ad esempio, analizzare gli ultimi 30 minuti di dati).
Figura 21: Regola di analisi e frequenza del monitoraggio
Configurate come Microsoft Sentinel deve gestire i rilevamenti. Decidete se ogni rilevamento deve generare un nuovo incidente o se i rilevamenti correlati devono essere aggregati in un singolo incidente e definite la priorità dell’incidente per aiutarvi a determinare la criticità del problema.
Figura 22: Definizione della gestione dei rilevamenti
Potete anche scegliere di collegare un playbook per automatizzare la risposta a un incidente rilevato dalla regola. Ad esempio, potete attivare azioni automatiche come l’invio di una notifica e-mail al team di sicurezza o l’isolamento di un dispositivo compromesso.
Un playbook in Microsoft Sentinel è uno strumento di automazione e orchestrazione che consente di automatizzare la risposta agli incidenti di sicurezza rilevati nel vostro ambiente. È creato utilizzando Azure Logic Apps e permette di eseguire azioni automatiche ogni volta che si verifica un evento o un incidente specifico, migliorando l’efficacia e la tempestività della risposta agli incidenti. L’obiettivo dei playbook è ridurre il tempo di reazione e il carico di lavoro manuale per il team di sicurezza, automatizzando compiti ripetitivi e garantendo che vengano seguiti processi predefiniti.
Figura 23: Gestione della risposta automatica all’incident generato
Dopo aver configurato tutti i dettagli della regola, fate clic su Review + create per rivedere tutte le configurazioni. Se tutto è corretto, fate clic su “Save” per attivare la regola.
Figura 24: Schermata finale del wizard di creazione della nuova regola
Una volta creata, la regola apparirà nella sezione Active Rules di Microsoft Sentinel. Da qui potrete monitorare lo stato della regola, vedere quanti avvisi genera, e fare eventuali modifiche in base ai risultati ottenuti.
Figura 25: La regola appena creata appare tra le regole attive
Creazione di un playbook
Un playbook in Microsoft Sentinel è una potente soluzione di automazione che consente di rispondere rapidamente agli incidenti di sicurezza. Grazie all’integrazione con Azure Logic Apps, i playbook offrono un modo flessibile e scalabile per garantire che i processi di sicurezza vengano eseguiti in modo coerente, automatico e senza ritardi, riducendo così il rischio e migliorando la sicurezza complessiva dell’azienda.
Nel repository GitHub di Azure Sentinel, disponibile al link https://github.com/Azure/Azure-Sentinel/tree/master/Playbooks, potete trovare numerosi playbook già pronti per essere utilizzati e integrati con Microsoft Sentinel. Questi playbook sono creati da Microsoft e dalla community e sono progettati per aiutare le aziende a rispondere in maniera automatizzata a vari scenari di sicurezza. Ogni playbook è fornito come un file JSON che definisce il flusso del playbook (trigger, azioni e connettori). Questo file JSON può essere scaricato e importato direttamente in Azure Logic Apps. Questo rende facile utilizzare playbook complessi senza doverli costruire manualmente, poiché sono già pronti per essere personalizzati e implementati.
Io ho scelto di utilizzare il playbook
Azure-Sentinel/Playbooks/Change-Incident-Severity at master · Azure/Azure-Sentinel · GitHub e di distribuirlo scegliendo il pulsante Deploy with alert trigger.
Figura 26: Distribuzione del playbook
Figura 27: Importazione del file JSON in Azure e creazione della Logic App
Figura 28: Risorse necessarie al playbook create correttamente
Una volta importato, potrete personalizzare il playbook in base alle vostre esigenze specifiche. Ad esempio, potete modificare l’indirizzo e-mail destinatario, aggiungere ulteriori condizioni, o collegare altri connettori in base alla vostra configurazione di sicurezza. Dopo aver personalizzato e salvato il playbook, potete collegarlo direttamente a una regola di analisi o a un incidente in Microsoft Sentinel.
Io ho deciso di configurare questo playbook in modo tale che modifichi una severity di un incident e la configuri come severity HIGH.
Creazione di una custom alert e configurazione del playbook per la risposta automatica all’incident
Creare un avviso personalizzato in Microsoft Sentinel e configurare un playbook come risposta automatizzata vi permetterà di rilevare specifici eventi di sicurezza e rispondere automaticamente per mitigare potenziali rischi, migliorando la vostra sicurezza e riducendo i tempi di reazione.
Andate alla sezione Analytics in Microsoft Sentinel per gestire le regole di analisi. Fate clic su + Create e selezionate Scheduled query rule per creare una nuova regola basata su query KQL. Questo tipo di regola esegue una query su dati storici e crea avvisi in base ai risultati.
Figura 29: Creazione di una nuova Scheduled query rule
Assegnate un nome descrittivo alla regola. Io voglio creare una regola che controlli la rimozione del Just-In-Time access per una VM. Fornite una descrizione che spieghi cosa fa la regola e selezionate il livello di severità dell’avviso (ad esempio Medium o High). Io l’ho configurato su Medium.
Nella scheda General durante la creazione di una regola di analisi in Microsoft Sentinel, noterete un riferimento a MITRE ATT&CK.
MITRE ATT&CK è un framework di conoscenza consolidato che descrive le tattiche e le tecniche usate dagli aggressori informatici nel condurre attacchi informatici. Questo framework è stato creato da MITRE, una organizzazione di ricerca non-profit, ed è utilizzato ampiamente nella comunità della cybersecurity per migliorare la comprensione delle minacce e per standardizzare la risposta alle minacce stesse.
Figura 30: Scheda General durante la creazione di una regola di analisi in Microsoft Sentinel
Nella scheda Set rule logic scrivete la query Kusto Query Language (KQL) per rilevare il comportamento specifico che volete monitorare. Ad esempio, io ho utilizzato la query
1 2 3 |
AzureActivity | where ResourceProviderValue =~ "Microsoft.Security" | where OperationNameValue =~ "Microsoft.Security/locations/jitNetworkAccessPolicies/delete" |
Questa query esegue un’analisi dei log di Azure Activity per individuare operazioni specifiche che coinvolgono l’eliminazione di criteri di accesso Just-in-Time (JIT) per la sicurezza degli accessi dalla rete alle VM.
Specificate quanto spesso la query deve essere eseguita (ad esempio ogni 5 minuti) e indicate per quanto tempo indietro i dati devono essere analizzati ogni volta (ad esempio, ultime 5 ore).
Figura 31: Scheda Set tule logic durante la creazione di una regola di analisi in Microsoft Sentinel
Nella scheda Incident Settings scegliete se ogni rilevamento debba creare un nuovo avviso o se gli avvisi correlati debbano essere aggregati in un singolo incidente.
Figura 32: Scheda Incident settings durante la creazione di una regola di analisi in Microsoft Sentinel
La scheda Automated response vi consente di definire quali azioni automatiche devono essere intraprese quando un avviso viene generato. Questa scheda è fondamentale per implementare risposte rapide e coerenti agli incidenti di sicurezza, utilizzando playbook (creati con Azure Logic Apps) per automatizzare la reazione alle minacce. Potete aggiungere uno o più playbook per rispondere automaticamente agli avvisi generati dalla regola di analisi che state configurando. Ogni volta che la regola rileva un comportamento anomalo e crea un avviso, il playbook configurato viene attivato per eseguire azioni specifiche.
Quando configurate una risposta automatizzata, Sentinel vi fornirà una lista dei playbook disponibili che possono essere collegati a quella specifica regola di analisi. I playbook disponibili sono quelli creati in Azure Logic Apps all’interno della stessa sottoscrizione e autorizzati a essere utilizzati con Microsoft Sentinel.
Per utilizzare e gestire i playbook in Microsoft Sentinel, è importante configurare correttamente i permessi in modo che Sentinel e gli utenti appropriati possano accedere ed eseguire i playbook. I permessi devono essere gestiti sia per garantire che il playbook possa essere eseguito automaticamente quando viene attivato un avviso, sia per assicurare che l’accesso ai playbook sia limitato solo agli utenti o ai servizi appropriati per motivi di sicurezza.
Fate clic su Manage playbook permissions per assegnare i permessi necessari e per poter visualizzare, dopo la corretta assegnazione dei permessi, la lista dei playbook disponibili.
Figura 33: Creazione della regola di automazione
Controllate le configurazioni effettuate nella scheda Review + create e fate clic su Save per terminare il wizard di creazione della scheduled rule.
Figura 34: Schermata finale del wizard di creazione della scheduled rule
Una volta completata la configurazione e la creazione di una regola di analisi in Microsoft Sentinel, la regola sarà disponibile tra quelle attive. Questo significa che:
- Potete visualizzare la regola appena creata nella scheda Active Rules all’interno della sezione Analytics di Microsoft Sentinel.
- Una regola attiva è in esecuzione nel vostro ambiente e sta monitorando continuamente i dati specificati, secondo la frequenza e i parametri di configurazione impostati.
- La regola attiva genererà avvisi ogni volta che rileverà eventi che soddisfano i criteri definiti nella query KQL.
NOTA: Come si può vedere dalla figura sotto, la regola ha una severity
MEDIUM. Il playbook che gli abbiamo associato, una volta eseguito, modificherà la severity e la configurerà come HIGH.
Figura 35: La regola di analisi è attiva
Verifica e test di funzionamento
Per testare come Microsoft Sentinel gestisce un evento sospetto e attiva le risposte automatizzate configurate tramite playbook, si può effettivamente utilizzare lo scenario in cui viene abilitato l’accesso Just-in-Time (JIT) su una macchina virtuale (VM) in Microsoft Defender for Cloud e poi viene eliminata la regola JIT. Questo evento scatenerà un incidente, esattamente come l’abbiamo configurato noi prima, poiché la rimozione di una regola JIT è un’operazione sensibile dal punto di vista della sicurezza.
Abilitare Just-in-Time (JIT) Access per una Virtual Machine è molto semplice. Vi basterà selezionare la macchina in cui volete abilitarlo e da Configuration fare clic su Enable just-in-time. Questa operazione si può fare anche dalla console di Microsoft Defender for Cloud.
NOTA: Il Just-in-Time (JIT) Access per una Virtual Machine (VM) in Azure è una funzionalità di sicurezza offerta da Microsoft Defender for Cloud che consente di limitare l’accesso amministrativo alle VM. JIT riduce la superficie d’attacco, consentendo l’accesso solo quando necessario e solo per un breve periodo di tempo, invece di lasciare le porte di gestione (come SSH o RDP) aperte e vulnerabili agli attacchi 24/7.
Figura 36: Abilitazione dell’accesso Just-in-time per una VM
Quando il JIT è abilitato su una VM, le porte di gestione critiche (ad esempio, la porta 3389 per RDP o 22 per SSH) sono chiuse di default. Queste porte vengono aperte solo su richiesta, per un periodo di tempo limitato, quando è necessario accedere alla macchina per operazioni amministrative.
Per gestire il Just-in-Time (JIT) Access per una Virtual Machine è necessario utilizzare Microsoft Defender for Cloud, come mostrato nella figura sotto. Cliccate su Open Microsoft Defender for Cloud per essere reindirizzati alla console di gestione del JIT VM Access.
Figura 37: La gestione del Just-in-Time (JIT) Access per una Virtual Machine viene fatta dal portale di Microsoft Defender for Cloud
NOTA: Il JIT è una funzionalità disponibile per le macchine virtuali protette da Microsoft Defender for Servers. Questo significa che è necessario prima attivare il piano di protezione Defender for Server nella subscription per poter utilizzare JIT. Per approfondimenti su Microsoft Defender for Cloud vi rimando alla lettura della mia guida Introduzione a Microsoft Defender for Cloud – ICT Power.
Spostatevi in Microsoft Defender for Cloud per poter visualizzare la regola di just-in-time appena creata e dai tre puntini (ellissi) fate clic su Remove per cancellarla, in modo tale da poter scatenare l’incident.
Figura 38: Rimozione della regola di Just-in-time VM access
La rimozione della regola verrà scritta negli Activity Log di Azure. Nella barra di ricerca del portale di Azure cercate “Activity Log” e selezionate l’opzione “Activity Log” dai risultati. L’Activity Log registra tutte le attività amministrative per la vostra subscription, incluse le operazioni eseguite sulle risorse. Una volta nella pagina del Activity Log, applicate dei filtri per trovare l’evento di rimozione della regola JIT.
L’evento si è verificato da poco e sarà visibile in cima alla lista dei log e si chiama “Delete JIT Network Access Policies“, come mostrato nella figura sotto:
Figura 39: Evento di rimozione della regola presente in Activity Log di Azure
Monitorare l’Incident in Microsoft Sentinel
Dopo aver rimosso la regola JIT, andate a Microsoft Sentinel e nella sezione Incidents attendete che venga generato un incident basato sulla regola di analisi che avete creato prima per monitorare l’eliminazione della regola JIT. L’incidente dovrebbe essere creato automaticamente dalla regola di analisi che monitora gli eventi associati alla cancellazione di regole JIT. Potete rivedere i dettagli dell’incidente per vedere chi ha rimosso la regola, quando è stato fatto e quali azioni sono state intraprese automaticamente in risposta all’incidente.
NOTA: Potrebbe volerci qualche minuto prima che l’incident venga visualizzato.
Figura 40: Incident creato in Microsoft Sentinel
Poiché è stato configurato un playbook per rispondere automaticamente alla cancellazione della regola JIT, potete rivedere le azioni intraprese. Dopo poco, infatti, l’incident passa da una severity
MEDIUM ad una severity HIGH. È stato infatti il playbook a cambiare al severity del nostro incident (ricordate?).
Figura 41: L’incident passa da una severity MEDIUM ad una severity HIGH perché è intervento il playbook che abbiamo configurato
Per ora ci fermiamo qui. Questa è solo un’introduzione. Se desideri approfondire, ti invito a consultare gli altri articoli nella sezione Microsoft Sentinel del nostro sito.
Conclusioni
Microsoft Sentinel rappresenta una soluzione di sicurezza completa per il monitoraggio e la gestione degli eventi, combinando l’efficacia di un SIEM e di un SOAR. La sua natura basata sul cloud consente una raccolta e analisi dei dati su vasta scala, offrendo visibilità su tutto l’ambiente IT, inclusi sistemi on-premises e cloud.
Sentinel non solo facilita il rilevamento proattivo delle minacce utilizzando algoritmi avanzati di machine learning, ma permette anche di reagire rapidamente grazie all’integrazione con playbook per automatizzare la risposta agli incidenti.
Utilizzando Microsoft Sentinel le aziende possono migliorare la propria postura di sicurezza riducendo i tempi di reazione e semplificando la gestione delle minacce in modo coerente e standardizzato. La scalabilità e l’integrazione con strumenti Microsoft e di terze parti fanno di Sentinel uno strumento versatile e potente per proteggere le infrastrutture moderne.