Waarschuwingen herstellen en reacties automatiseren

  • 7 minuten

Selecteer op de overzichtspagina van Defender voor Cloud het tabblad Defender voor Cloud boven aan de pagina of de koppeling op de zijbalk.

Screenshot of the Defender for Cloud Alerts list page.

Selecteer een waarschuwing in de lijst met beveiligingswaarschuwingen. Er wordt een zijvenster geopend met een beschrijving van de waarschuwing en alle betrokken resources.

Screenshot of the Defender for Cloud Alert Details Flyout.

Selecteer Volledige details weergeven voor meer informatie.

In het linkerdeelvenster van de pagina met beveiligingswaarschuwingen ziet u informatie op hoog niveau met betrekking tot de beveiligingswaarschuwing: titel, ernst, status, activiteitstijd, beschrijving van de verdachte activiteit en de betreffende resource. Naast de betrokken resource zijn de Azure-tags die relevant zijn voor de resource. Gebruik tags om de organisatiecontext van de resource af te stellen bij het onderzoeken van de waarschuwing.

Het rechterdeelvenster bevat het tabblad Waarschuwingsgegevens met verdere details van de waarschuwing om u te helpen het probleem te onderzoeken: IP-adressen, bestanden, processen en meer.

Screenshot of the Defender for Cloud Alert Detail page.

In het rechterdeelvenster vindt u ook het tabblad Actie ondernemen. Gebruik dit tabblad om verdere acties uit te voeren met betrekking tot de beveiligingswaarschuwing. Acties zoals:

  • De bedreiging beperken: biedt handmatige herstelstappen voor deze beveiligingswaarschuwing

  • Toekomstige aanvallen voorkomen: biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen

  • Geautomatiseerde reactie activeren: biedt de optie om een logische app te activeren als reactie op deze beveiligingswaarschuwing

  • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatische antwoorden

Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen het melden aan relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen bevatten. Beveiligingsexperts raden u aan zo veel mogelijk stappen van deze procedures te automatiseren. Automatisering vermindert overhead. Het kan uw beveiliging ook verbeteren door ervoor te zorgen dat de processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.

Met deze functie kan Logic Apps worden geactiveerd voor beveiligingswaarschuwingen en aanbevelingen. U wilt bijvoorbeeld Defender voor Cloud een specifieke gebruiker een e-mail sturen wanneer er een waarschuwing optreedt.

Een logische app maken en definiëren wanneer deze automatisch moet worden uitgevoerd

Selecteer werkstroomautomatisering in de zijbalk van Defender voor Cloud.

Op deze pagina kunt u nieuwe automatiseringsregels maken en bestaande regels inschakelen, uitschakelen of verwijderen.

Als u een nieuwe werkstroom wilt definiëren, selecteert u Werkstroomautomatisering toevoegen.

Er wordt een deelvenster weergegeven met de opties voor uw nieuwe automatisering. Hier kunt u het volgende invoeren:

  • Een naam en beschrijving voor de automatisering.

  • De triggers waarmee deze automatische werkstroom wordt gestart. U wilt bijvoorbeeld dat uw logische app wordt uitgevoerd wanneer er een beveiligingswaarschuwing met SQL wordt gegenereerd.

  • De logische app die wordt uitgevoerd wanneer aan de triggervoorwaarden wordt voldaan.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Selecteer in de sectie Acties een nieuwe maken om te beginnen met het maken van de logische app.

U wordt naar Azure Logic Apps gebracht.

  • Voer een naam, resourcegroep en locatie in en selecteer Maken.

  • In uw nieuwe logische app kunt u kiezen uit ingebouwde, vooraf gedefinieerde sjablonen uit de beveiligingscategorie. U kunt ook een aangepaste stroom van gebeurtenissen definiëren die moeten worden uitgevoerd wanneer dit proces wordt geactiveerd.

De ontwerper van logische apps ondersteunt de volgende Defender voor Cloud triggers:

  • Wanneer een Defender voor Cloud aanbeveling wordt gemaakt of geactiveerd. Als uw logische app afhankelijk is van een aanbeveling die wordt afgeschaft of vervangen, werkt uw automatisering niet meer. Vervolgens moet u de trigger bijwerken. Zie Defender voor Cloud opmerkingen bij de release om wijzigingen in aanbevelingen bij te houden.

  • Wanneer een Defender voor Cloud Waarschuwing wordt gemaakt of geactiveerd: u kunt de trigger aanpassen zodat deze alleen betrekking heeft op waarschuwingen met de ernstniveaus die u interesseren.

Screenshot of the Logic App U I and a sample logic app.

Nadat u uw logische app hebt gedefinieerd, gaat u terug naar het deelvenster Werkstroomautomatiseringsdefinitie ('Werkstroomautomatisering toevoegen'). Selecteer Vernieuwen om ervoor te zorgen dat uw nieuwe logische app beschikbaar is voor selectie.

Selecteer uw logische app en sla de automatisering op. In de vervolgkeuzelijst logische app worden alleen Logic Apps weergegeven met ondersteuning voor Defender voor Cloud connectors die hierboven worden genoemd.

Een logische app handmatig activeren

U kunt Logic Apps ook handmatig uitvoeren wanneer u een beveiligingswaarschuwing of aanbeveling bekijkt.

Als u een logische app handmatig wilt uitvoeren, opent u een waarschuwing of aanbeveling en selecteert u Logische app activeren.