Automatyzowanie odpowiedzi korygujących

Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie właściwych uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych instrukcji rozwiązania problemu. Specjaliści ds. zabezpieczeń zalecają zautomatyzowanie jak największej liczby kroków w tych procedurach. Automatyzacja zmniejsza obciążenie. Może również zwiększyć bezpieczeństwo, zapewniając szybkie, spójne i spójne wykonanie kroków procesu zgodnie ze wstępnie zdefiniowanymi wymaganiami.

W tym artykule opisano funkcję automatyzacji przepływu pracy Microsoft Defender dla Chmury. Ta funkcja może wyzwalać aplikacje logiki użycia dotyczące alertów zabezpieczeń, zaleceń i zmian zgodności z przepisami. Możesz na przykład Defender dla Chmury wysłać wiadomość e-mail do określonego użytkownika po wystąpieniu alertu. Dowiesz się również, jak tworzyć aplikacje logiki przy użyciu usługi Azure Logic Apps.

Wymagania wstępne

Przed rozpoczęciem:

  • Potrzebna jest rola administratora zabezpieczeń lub właściciel grupy zasobów.

  • Musisz również mieć uprawnienia do zapisu dla zasobu docelowego.

  • Aby pracować z przepływami pracy usługi Azure Logic Apps, musisz również mieć następujące role/uprawnienia usługi Logic Apps:

    • Uprawnienia operatora aplikacji logiki są wymagane lub dostęp do odczytu/wyzwalacza aplikacji logiki (ta rola nie może tworzyć ani edytować aplikacji logiki; uruchamiać tylko istniejące)
    • Uprawnienia współautora aplikacji logiki są wymagane do tworzenia i modyfikowania aplikacji logiki.
  • Jeśli chcesz użyć łączników usługi Logic Apps, może być konieczne zalogowanie się do odpowiednich usług (na przykład wystąpień programu Outlook/Teams/Usługi Slack).

Tworzenie aplikacji logiki i definiowanie, kiedy ma zostać uruchomione automatycznie

Wykonaj te kroki:

  1. Na pasku bocznym Defender dla Chmury wybierz pozycję Automatyzacja przepływu pracy.

    Zrzut ekranu przedstawiający stronę automatyzacji przepływu pracy z listą zdefiniowanych automatyzacji.

  2. Na tej stronie utwórz nowe reguły automatyzacji, włącz, wyłącz lub usuń istniejące. Zakres odnosi się do subskrypcji, w której wdrożono automatyzację przepływu pracy.

  3. Aby zdefiniować nowy przepływ pracy, wybierz pozycję Dodaj automatyzację przepływu pracy. Zostanie otwarte okienko opcji nowej automatyzacji.

    Dodaj okienko automatyzacji przepływu pracy.

  4. Wprowadź następujące informacje:

    • Nazwa i opis automatyzacji.
    • Wyzwalacze, które zainicjują ten automatyczny przepływ pracy. Możesz na przykład chcieć uruchomić aplikację logiki, gdy zostanie wygenerowany alert zabezpieczeń zawierający ciąg "SQL".
  5. Określ aplikację logiki użycia, która będzie uruchamiana po spełnieniu warunków wyzwalacza.

  6. W sekcji Akcje wybierz stronę Logic Apps, aby rozpocząć proces tworzenia aplikacji logiki.

    Zrzut ekranu przedstawiający sekcję akcji ekranu dodawania automatyzacji przepływu pracy i link do odwiedzenia usługi Azure Logic Apps.

    Nastąpi przekierowanie do usługi Azure Logic Apps.

  7. Wybierz pozycję (+) Dodaj.

    Zrzut ekranu przedstawiający miejsce tworzenia aplikacji logiki.

  8. Wypełnij wszystkie wymagane pola i wybierz pozycję Przejrzyj i utwórz.

    Zostanie wyświetlony komunikat Wdrożenie jest w toku . Poczekaj na wyświetlenie powiadomienia o zakończeniu wdrażania i wybierz pozycję Przejdź do zasobu z powiadomienia.

  9. Przejrzyj wprowadzone informacje i wybierz pozycję Utwórz.

    W nowej aplikacji logiki możesz wybrać spośród wbudowanych, wstępnie zdefiniowanych szablonów z kategorii zabezpieczeń. Możesz też zdefiniować niestandardowy przepływ zdarzeń, który ma wystąpić po wyzwoleniu tego procesu.

    Napiwek

    Czasami w aplikacji logiki parametry są uwzględniane w łączniku jako część ciągu, a nie we własnym polu. Aby zapoznać się z przykładem wyodrębniania parametrów, zobacz krok 14 tematu Praca z parametrami aplikacji logiki podczas tworzenia Microsoft Defender dla Chmury automatyzacji przepływu pracy.

Obsługiwane wyzwalacze

Projektant aplikacji logiki obsługuje następujące wyzwalacze Defender dla Chmury:

  • Po utworzeniu lub wyzwoleniu rekomendacji Microsoft Defender dla Chmury — jeśli aplikacja logiki korzysta z zalecenia, które zostanie wycofane lub zastąpione, automatyzacja przestanie działać i musisz zaktualizować wyzwalacz. Aby śledzić zmiany zaleceń, skorzystaj z informacji o wersji.

  • Po utworzeniu lub wyzwoleniu alertu Defender dla Chmury — możesz dostosować wyzwalacz tak, aby odnosił się tylko do alertów z interesującymi Cię poziomami ważności.

  • Po utworzeniu lub wyzwoleniu oceny zgodności z przepisami Defender dla Chmury — wyzwalaj automatyzacje na podstawie aktualizacji ocen zgodności z przepisami.

Uwaga

Jeśli używasz starszego wyzwalacza Po wyzwoleniu odpowiedzi na alert Microsoft Defender dla Chmury aplikacje logiki nie będą uruchamiane przez funkcję automatyzacji przepływu pracy. Zamiast tego należy użyć jednego z wyzwalaczy wymienionych powyżej.

  1. Po zdefiniowaniu aplikacji logiki wróć do okienka definicji automatyzacji przepływu pracy ("Dodaj automatyzację przepływu pracy").

  2. Wybierz pozycję Odśwież , aby upewnić się, że nowa aplikacja logiki jest dostępna do wyboru.

  3. Wybierz aplikację logiki i zapisz automatyzację. Lista rozwijana aplikacji logiki pokazuje tylko te z pomocniczymi łącznikami Defender dla Chmury wymienionymi powyżej.

Ręczne wyzwalanie aplikacji logiki

Aplikacje logiki można również uruchamiać ręcznie podczas wyświetlania dowolnego alertu zabezpieczeń lub zalecenia.

Aby ręcznie uruchomić aplikację logiki, otwórz alert lub zalecenie i wybierz pozycję Wyzwól aplikację logiki.

Ręczne wyzwalanie aplikacji logiki.

Konfigurowanie automatyzacji przepływu pracy na dużą skalę

Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.

Aby wdrożyć konfiguracje automatyzacji w całej organizacji, użyj podanych zasad usługi Azure Policy "DeployIfNotExist" opisanych poniżej, aby utworzyć i skonfigurować procedury automatyzacji przepływu pracy.

Wprowadzenie do szablonów automatyzacji przepływu pracy.

Aby zaimplementować te zasady:

  1. W poniższej tabeli wybierz zasady, które chcesz zastosować:

    Goal Zasady Identyfikator zasad
    Automatyzacja przepływu pracy dla alertów zabezpieczeń Wdrażanie automatyzacji przepływu pracy dla alertów usługi Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cddd02361e
    Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń Wdrażanie automatyzacji przepływu pracy dla rekomendacji usługi Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami Microsoft Defender dla Chmury 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Można je również znaleźć, wyszukując usługę Azure Policy. W usłudze Azure Policy wybierz pozycję Definicje i wyszukaj je według nazwy.

  2. Na odpowiedniej stronie usługi Azure Policy wybierz pozycję Przypisz. Przypisywanie usługi Azure Policy.

  3. Na karcie Podstawy ustaw zakres zasad. Aby użyć scentralizowanego zarządzania, przypisz zasady do grupy zarządzania zawierającej subskrypcje, które będą używać konfiguracji automatyzacji przepływu pracy.

  4. Na karcie Parametry wprowadź wymagane informacje.

    Zrzut ekranu przedstawiający kartę parametrów.

  5. Opcjonalnie zastosuj to przypisanie do istniejącej subskrypcji na karcie Korygowanie i wybierz opcję utworzenia zadania korygowania.

  6. Przejrzyj stronę podsumowania i wybierz pozycję Utwórz.

    Schematy typów danych

    Aby wyświetlić nieprzetworzone schematy zdarzeń alertów zabezpieczeń lub zdarzeń zaleceń przekazanych do aplikacji logiki, odwiedź schematy typów danych automatyzacji przepływu pracy. Może to być przydatne w przypadkach, gdy nie używasz wbudowanych łączników usługi Logic Apps Defender dla Chmury wymienionych powyżej, ale zamiast tego używasz ogólnego łącznika HTTP — możesz użyć schematu JSON zdarzenia, aby ręcznie przeanalizować go zgodnie z potrzebami.