Correggere i problemi segnalati dagli avvisi e automatizzare le risposte

  • 7 minuti

Nella pagina di panoramica di Defender per il cloud selezionare la scheda Defender per il cloud nella parte superiore della pagina o il collegamento sulla barra laterale.

Screenshot of the Defender for Cloud Alerts list page.

Nell'elenco Avvisi di sicurezza selezionare un avviso. Verrà visualizzato un riquadro laterale con una descrizione dell'avviso e l'indicazione di tutte le risorse interessate.

Screenshot of the Defender for Cloud Alert Details Flyout.

Per altre informazioni, selezionare Visualizza i dettagli completi.

Il riquadro a sinistra della pagina Avviso di sicurezza mostra le informazioni generali relative all'avviso di sicurezza, come titolo, gravità, stato, orario dell'attività, descrizione dell'attività sospetta e risorsa interessata. Oltre alla risorsa interessata sono indicati i tag di Azure rilevanti per la risorsa. Usare i tag per dedurre il contesto organizzativo della risorsa quando si esamina l'avviso.

Il riquadro a destra include la scheda Dettagli avviso che contiene altri dettagli dell'avviso utili per esaminare il problema, come indirizzi IP, file, processi e altro ancora.

Screenshot of the Defender for Cloud Alert Detail page.

Nel riquadro a destra è inoltre presente la scheda Intervieni. Usare questa scheda per eseguire altre azioni relative all'avviso di sicurezza. Sono disponibili azioni come le seguenti:

  • Mitiga la minaccia - fornisce la procedura di correzione manuale per l'avviso di sicurezza

  • Evita attacchi futuri - fornisce raccomandazioni sulla sicurezza che consentono di ridurre la superficie di attacco, migliorare la postura di sicurezza e prevenire quindi attacchi futuri

  • Attiva la risposta automatica - consente di attivare un'app per la logica in risposta all'avviso di sicurezza

  • Elimina avvisi simili - consente di disattivare gli avvisi futuri con caratteristiche simili se l'avviso non è rilevante per l'organizzazione

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatizzare le risposte

Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il carico di lavoro. Può anche migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.

Questa funzionalità consente di attivare app per la logica in base agli avvisi e alle raccomandazioni sulla sicurezza. È ad esempio possibile fare in modo che Defender per il cloud invii un messaggio e-mail a un utente specifico quando si verifica un avviso.

Creare un'app per la logica e definire quando deve essere eseguita automaticamente

Nella barra laterale di Defender per il cloud selezionare Automazione del flusso di lavoro.

Da questa pagina è possibile creare nuove regole di automazione e abilitare, disabilitare o eliminare quelle esistenti.

Per definire un nuovo flusso di lavoro, selezionare Aggiungi l'automazione del flusso di lavoro.

Verrà visualizzato un riquadro con le opzioni per la nuova automazione. Nel riquadro è possibile immettere:

  • Nome e descrizione per l'automazione.

  • Trigger che avvieranno il flusso di lavoro automatico. È ad esempio possibile fare in modo che l'app per la logica venga eseguita quando viene generato un avviso di sicurezza contenente "SQL".

  • App per la logica che verrà eseguita quando vengono soddisfatte le condizioni di trigger.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Nella sezione Azioni selezionare Crea una nuova app per avviare il processo di creazione dell'app per la logica.

Verrà visualizzato il servizio App per la logica di Azure.

  • Immettere un nome, un gruppo di risorse e una posizione e selezionare Crea.

  • Nella nuova app per la logica è possibile scegliere tra i modelli predefiniti integrati della categoria Sicurezza. In alternativa, è possibile definire un flusso personalizzato di eventi che si verificano quando viene attivato il processo.

La finestra di progettazione app per la logica supporta i seguenti trigger di Defender per il cloud:

  • Quando viene creata o attivata una raccomandazione di Defender per il cloud - Se l'app per la logica si basa su una raccomandazione che viene deprecata o sostituita, l'automazione smetterà di funzionare. Sarà quindi necessario aggiornare il trigger. Per monitorare le modifiche apportate alle raccomandazioni, vedere le note sulla versione di Defender per il cloud.

  • Quando viene creato o attivato un avviso di Defender per il cloud - È possibile personalizzare il trigger in modo che si riferisca solo agli avvisi con i livelli di gravità a cui si è interessati.

Screenshot of the Logic App U I and a sample logic app.

Dopo avere definito l'app per la logica, tornare al riquadro di definizione dell'automazione del flusso di lavoro ("Aggiungi l'automazione del flusso di lavoro"). Fare clic su Aggiorna per verificare che la nuova app per la logica sia disponibile per la selezione.

Selezionare l'app per la logica e salvare l'automazione. L'elenco a discesa App per la logica include solo le app per la logica con i connettori per Defender per il cloud indicati sopra.

Attivare manualmente un'app per la logica

È anche possibile eseguire le app per la logica manualmente quando si visualizzano avvisi o raccomandazioni sulla sicurezza.

Per eseguire manualmente un'app per la logica, aprire un avviso o una raccomandazione e selezionare Attiva un'app per la logica.