Vai al contenuto principale

Panoramica

L’integrazione di Microsoft Sentinel (INT-009) acquisisce gli incidenti di Sentinel in CaseBender e può restituire le disposizioni dei casi a Sentinel quando un caso viene chiuso.

Acquisizione in entrata

Gli incidenti di Sentinel vengono acquisiti — estratti automaticamente in modo pianificato (consigliato) o inviati tramite webhook / Logic App — quindi normalizzati e trasformati in avvisi.

Sincronizzazione in uscita

Quando un caso collegato viene chiuso in CaseBender, lo stato e la classificazione dell’incidente di Sentinel vengono aggiornati con un commento di audit.
Consigliato: abilita il polling automatico. CaseBender può estrarre nuovi incidenti in modo pianificato direttamente dal tuo workspace di Log Analytics — senza Logic App, connettore dati o endpoint in entrata. Vedi Polling automatico.
Questa integrazione utilizza l’API REST di Azure Security Insights e si autentica con un’applicazione Azure AD (Entra ID) tramite il flusso client-credentials (ambito management.azure.com).

Funzionalità

Prerequisiti

1

Registra un'applicazione Azure AD

Nel centro di amministrazione Microsoft Entra, registra un’applicazione e crea un client secret. Annota il Directory (tenant) ID, l’Application (client) ID e il valore del secret.
2

Assegna il ruolo sul workspace

Concedi all’applicazione il ruolo Microsoft Sentinel Reader sul workspace di Log Analytics con Sentinel abilitato (per l’entrata). Per la chiusura in uscita, concedi Microsoft Sentinel Responder.
3

Raccogli le coordinate del workspace

Annota il Subscription ID, il Resource Group e il nome del workspace di Log Analytics.
4

Uscita di rete

Il poller di CaseBender deve raggiungere login.microsoftonline.com e management.azure.com.

Configurare l’integrazione in CaseBender

1

Apri il catalogo delle integrazioni

Vai su Settings → Integrations → Create e scegli Microsoft Sentinel nella categoria SIEM.
2

Inserisci le credenziali Azure e il workspace

3

Abilita il polling automatico (consigliato)

4

Configura la creazione automatica dei casi

Entrata (polling automatico)

1

Estrazione pianificata

A ogni intervallo, CaseBender enumera gli incidenti del workspace con properties/lastModifiedTimeUtc maggiore dell’ultimo cursore, in ordine crescente. Alla prima esecuzione vengono importati gli incidenti modificati entro pollingInitialLookbackHours.
2

Cursore + deduplicazione

CaseBender avanza un cursore per integrazione fino al lastModifiedTimeUtc più recente. Gli incidenti vengono deduplicati per nome incidente, quindi finestre sovrapposte non creano mai duplicati.
3

Normalizzazione

Ogni incidente viene normalizzato in un avviso di CaseBender e l’identificatore dell’incidente di Sentinel viene conservato affinché la chiusura in uscita possa ritrovarlo in seguito.
Il polling viene eseguito nel servizio di polling in background di CaseBender. Assicurati che possa raggiungere login.microsoftonline.com e management.azure.com (direttamente o tramite il tuo proxy).

Uscita: sincronizzazione delle disposizioni verso Sentinel

Quando un caso collegato viene chiuso, CaseBender aggiorna lo status dell’incidente di Sentinel (a Closed) e la classification, e aggiunge un commento di audit. L’uscita richiede il ruolo Microsoft Sentinel Responder.

Considerazioni sulla sicurezza

  • Privilegio minimo — concedi Sentinel Reader solo per l’entrata; aggiungi Sentinel Responder solo se abiliti la chiusura in uscita.
  • Gestione dei segreti — ruota il client secret secondo la policy della tua organizzazione.
  • Rete — limita l’uscita a login.microsoftonline.com e management.azure.com.

Risoluzione dei problemi

Verifica gli ID di tenant/client e il secret, e che l’applicazione abbia il ruolo Sentinel Reader sul workspace. Conferma che il subscription ID, il resource group e il nome del workspace siano corretti.
Conferma che Enable automatic polling sia attivo e che le coordinate del workspace siano corrette. Verifica che il poller possa raggiungere management.azure.com. Alla prima esecuzione vengono importati solo gli incidenti entro pollingInitialLookbackHours.Assicurati che tutti i servizi di CaseBender siano in esecuzione — con Docker, docker compose ps deve mostrare i servizi worker e misp-processor come Up.
Assicurati che l’applicazione abbia il ruolo Sentinel Responder e che il caso sia collegato a un incidente di Sentinel. Controlla la cronologia del caso per l’esito della sincronizzazione.

Documentazione correlata