Panoramica
L’integrazione di Microsoft Sentinel (INT-009) acquisisce gli incidenti di Sentinel in CaseBender e può restituire le disposizioni dei casi a Sentinel quando un caso viene chiuso.Acquisizione in entrata
Gli incidenti di Sentinel vengono acquisiti — estratti automaticamente in
modo pianificato (consigliato) o inviati tramite webhook / Logic App —
quindi normalizzati e trasformati in avvisi.
Sincronizzazione in uscita
Quando un caso collegato viene chiuso in CaseBender, lo stato e la
classificazione dell’incidente di Sentinel vengono aggiornati con un commento
di audit.
Questa integrazione utilizza l’API REST di Azure Security Insights e si
autentica con un’applicazione Azure AD (Entra ID) tramite il flusso
client-credentials (ambito
management.azure.com).Funzionalità
Prerequisiti
1
Registra un'applicazione Azure AD
Nel centro di amministrazione Microsoft Entra, registra
un’applicazione e crea un client secret. Annota il Directory (tenant) ID,
l’Application (client) ID e il valore del secret.
2
Assegna il ruolo sul workspace
Concedi all’applicazione il ruolo Microsoft Sentinel Reader sul workspace di Log Analytics
con Sentinel abilitato (per l’entrata). Per la chiusura in uscita, concedi Microsoft Sentinel
Responder.
3
Raccogli le coordinate del workspace
Annota il Subscription ID, il Resource Group e il nome del workspace di Log
Analytics.
4
Uscita di rete
Il poller di CaseBender deve raggiungere
login.microsoftonline.com e management.azure.com.Configurare l’integrazione in CaseBender
1
Apri il catalogo delle integrazioni
Vai su Settings → Integrations → Create e scegli Microsoft Sentinel nella categoria
SIEM.
2
Inserisci le credenziali Azure e il workspace
3
Abilita il polling automatico (consigliato)
4
Configura la creazione automatica dei casi
Entrata (polling automatico)
1
Estrazione pianificata
A ogni intervallo, CaseBender enumera gli incidenti del workspace con
properties/lastModifiedTimeUtc maggiore dell’ultimo cursore, in ordine crescente. Alla prima
esecuzione vengono importati gli incidenti modificati entro pollingInitialLookbackHours.2
Cursore + deduplicazione
CaseBender avanza un cursore per integrazione fino al
lastModifiedTimeUtc più recente. Gli
incidenti vengono deduplicati per nome incidente, quindi finestre sovrapposte non creano
mai duplicati.3
Normalizzazione
Ogni incidente viene normalizzato in un avviso di CaseBender e l’identificatore dell’incidente
di Sentinel viene conservato affinché la chiusura in uscita possa ritrovarlo in seguito.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Assicurati che
possa raggiungere
login.microsoftonline.com e management.azure.com (direttamente o tramite il
tuo proxy).Uscita: sincronizzazione delle disposizioni verso Sentinel
Quando un caso collegato viene chiuso, CaseBender aggiorna lostatus dell’incidente di Sentinel (a
Closed) e la classification, e aggiunge un commento di audit. L’uscita richiede il ruolo
Microsoft Sentinel Responder.
Considerazioni sulla sicurezza
- Privilegio minimo — concedi Sentinel Reader solo per l’entrata; aggiungi Sentinel Responder solo se abiliti la chiusura in uscita.
- Gestione dei segreti — ruota il client secret secondo la policy della tua organizzazione.
- Rete — limita l’uscita a
login.microsoftonline.comemanagement.azure.com.
Risoluzione dei problemi
L'autenticazione fallisce
L'autenticazione fallisce
Verifica gli ID di tenant/client e il secret, e che l’applicazione abbia il ruolo Sentinel
Reader sul workspace. Conferma che il subscription ID, il resource group e il nome del workspace
siano corretti.
Il polling è abilitato ma non appaiono incidenti
Il polling è abilitato ma non appaiono incidenti
Conferma che Enable automatic polling sia attivo e che le coordinate del workspace siano
corrette. Verifica che il poller possa raggiungere
management.azure.com. Alla prima esecuzione
vengono importati solo gli incidenti entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker,
docker compose ps deve mostrare i servizi worker e misp-processor come Up.La chiusura del caso non aggiorna Sentinel
La chiusura del caso non aggiorna Sentinel
Assicurati che l’applicazione abbia il ruolo Sentinel Responder e che il caso sia collegato a un
incidente di Sentinel. Controlla la cronologia del caso per l’esito della sincronizzazione.