Corriger les alertes et automatiser les réponses

  • 7 minutes

À partir de la page de présentation de Defender pour le Cloud, sélectionnez l’onglet Defender pour le Cloud en haut de la page ou le lien dans la barre latérale.

Screenshot of the Defender for Cloud Alerts list page.

Dans la liste Alertes de sécurité, sélectionnez une alerte. Un volet latéral s’ouvre, affichant une description de l’alerte et de toutes les ressources affectées.

Screenshot of the Defender for Cloud Alert Details Flyout.

Pour plus d’informations, sélectionnez Afficher tous les détails.

Le volet gauche de la page d’alerte de sécurité affiche des informations générales concernant l’alerte de sécurité : titre, gravité, état, durée d’activité, description de l’activité suspecte et ressource affectée. En regard de la ressource affectée figurent les étiquettes Azure pertinentes pour la ressource. Utilisez-les pour déduire le contexte organisationnel de la ressource lors de l’investigation de l’alerte.

Le volet droit comprend l’onglet Détails de l’alerte contenant des détails supplémentaires sur l’alerte pour vous aider à examiner le problème : adresses IP, fichiers, processus et bien plus encore.

Screenshot of the Defender for Cloud Alert Detail page.

Dans le volet droit figure aussi l’onglet Entreprendre une action. Utilisez cet onglet pour prendre d’autres mesures concernant l’alerte de sécurité. Actions telles que :

  • Atténuer la menace : fournit des étapes de correction manuelle pour cette alerte de sécurité

  • Empêcher les attaques futures : fournit des recommandations de sécurité pour aider à réduire la surface d’attaque, améliorer la posture de sécurité et ainsi empêcher les attaques futures

  • Déclencher une réponse automatisée : permet de déclencher une application logique en guide de réponse à cette alerte de sécurité.

  • Supprimer les alertes similaires : permet de supprimer les alertes futures ayant des caractéristiques similaires si l’alerte n’est pas pertinente pour votre organisation.

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatiser les réponses

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. D’une part, l’automatisation réduit votre charge de travail. D’autre part, elle contribue à renforcer votre sécurité en garantissant que les étapes des processus sont effectuées rapidement, de manière cohérente et selon vos exigences prédéfinies.

Cette fonctionnalité peut déclencher Logic Apps sur les alertes et recommandations de sécurité. Par exemple, vous pouvez définir que Defender pour le cloud envoie un e-mail à un utilisateur donné quand une alerte se produit.

Créer une application logique et définir le moment de son exécution automatique

Dans la barre latérale de Defender pour le cloud, sélectionnez Automatisation du workflow.

À partir de cette page, vous pouvez créer des règles d’automatisation et activer, désactiver ou supprimer des règles existantes.

Pour définir un nouveau workflow, sélectionnez Add workflow automation (Ajouter une automatisation de workflow).

Un volet s’affiche avec les options de votre nouvelle automatisation. Vous pouvez y entrer :

  • Le nom et la description de l’automatisation.

  • Les déclencheurs qui lanceront l’exécution de ce workflow automatique. Par exemple, vous pouvez définir que votre application logique s’exécute quand une alerte de sécurité contenant « SQL » est générée.

  • L’application logique à exécuter lorsque les conditions du déclencheur définies seront remplies.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Dans la section Actions, sélectionnez Create a new one (Créer) pour commencer le processus de création de l’application logique.

Vous êtes redirigé vers le service Azure Logic Apps.

  • Entrez un nom, un groupe de ressources et un emplacement, puis sélectionnez Créer.

  • Dans votre nouvelle application logique, vous pouvez choisir des modèles prédéfinis intégrés dans la catégorie Sécurité. Vous pouvez aussi définir un workflow personnalisé des événements attendus au déclenchement de ce processus.

Le concepteur d’applications logiques prend en charge les déclencheurs Defender pour le Cloud suivants :

  • Lorsqu’une recommandation Defender pour le Cloud est créée ou déclenchée : si votre application logique repose sur une recommandation qui est dépréciée ou remplacée, votre automatisation cesse de fonctionner. Vous devez alors mettre à jour le déclencheur. Pour suivre les modifications apportées aux recommandations, consultez les notes de mise à jour de Defender pour le Cloud.

  • Quand une alerte Defender pour le cloud est créée ou déclenchée : vous pouvez personnaliser le déclencheur pour qu’il ne concerne que les alertes dont les niveaux de gravité vous intéressent.

Screenshot of the Logic App U I and a sample logic app.

Après avoir défini votre application logique, revenez au volet de définition de l’automatisation des workflows (« Ajouter une automatisation de workflow »). Sélectionnez Actualiser pour vous assurer que votre nouvelle application logique est disponible pour la sélection.

Sélectionnez votre application logique et enregistrez l’automatisation. La liste déroulante Application logique affiche uniquement les Logic Apps avec les connecteurs de Defender pour le Cloud pris en charge mentionnés ci-dessus.

Déclencher manuellement une application logique

Vous pouvez également exécuter des applications logiques manuellement quand une alerte ou recommandation de sécurité quelconques s’affichent.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis sélectionnez Déclencher l’application logique.