Устранение тревог и автоматизация ответов

  • 7 мин

На странице обзора Defender для облака выберите вкладку Defender for Cloud (Defender для облака) в верхней части страницы или ссылку на боковой панели.

Screenshot of the Defender for Cloud Alerts list page.

Выберите оповещение в списке Оповещения системы безопасности. Откроется боковая область с описанием предупреждения и всеми затронутыми ресурсами.

Screenshot of the Defender for Cloud Alert Details Flyout.

Для получения дополнительных сведений выберите элемент Просмотр полных сведений.

На левой панели страницы оповещения системы безопасности отображаются сведения высокого уровня о предупреждении безопасности: заголовок, серьезность, состояние, время действия, описание подозрительного действия и затронутый ресурс. Наряду с затронутым ресурсом приводятся теги Azure, относящиеся к ресурсу. Используйте теги, чтобы вывести организационный контекст ресурса при исследовании предупреждения.

На правой панели есть вкладка Сведения об оповещении, содержащая дополнительные сведения об оповещении для анализа проблемы: IP-адреса, файлы, процессы и многое другое.

Screenshot of the Defender for Cloud Alert Detail page.

Также на правой панели находится вкладка Принять меры. Используйте эту вкладку, чтобы предпринять дальнейшие действия в отношении оповещения системы безопасности. Такие действия, как:

  • Устранение угрозы — здесь описаны действия по устранению проблемы, выполняемые вручную для этого оповещения системы безопасности.

  • Предотвращение будущих атак — рекомендации направленные на то, чтобы уменьшить число возможных направлений атак, повысить уровень безопасности и тем самым улучшить защиту от атак в будущем.

  • Активация автоматического ответа — предоставляет возможность активировать приложение логики в качестве ответа на этот инцидент безопасности.

  • Подавление аналогичных предупреждений — предоставляет возможность подавлять будущие оповещения с похожими характеристиками, если оповещение не подходит для вашей организации

Screenshot of the Defender for Cloud Alert Take Action tab.

Автоматизация ответов

Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут уведомлять соответствующих заинтересованных лиц, запускать операции управления изменениями и выполнять определенные действия для устранения проблем. Специалисты по безопасности рекомендуют автоматизировать максимальное количество этапов. Автоматизация сокращает затраты. Автоматизация помогает сократить издержки и повысить безопасность, так как обеспечивает быстрое и согласованное выполнение этапов процесса, причем в соответствии с заранее определенными требованиями.

Эта функция может активировать Logic Apps на оповещениях и рекомендациях системы безопасности. Например, вам может потребоваться, чтобы Defender для облака отправлял определенному пользователю сообщение электронной почты при активации оповещения.

Создание приложения логики и определение его автоматического запуска

На боковой панели Defender для облака выберите элемент Автоматизация рабочего процесса.

На этой странице можно создавать новые правила автоматизации, а также включать, отключать или удалять существующие.

Чтобы определить новый рабочий процесс, выберите Добавить автоматизацию рабочего процесса.

Появится панель с параметрами для новой автоматизации. Здесь можно ввести:

  • Название и описание для автоматизации.

  • Триггеры, которые будут инициировать этот автоматический рабочий процесс. Например, может потребоваться, чтобы приложение логики выполнялось при создании оповещения системы безопасности, содержащего "SQL".

  • Приложение логики, которое будет выполняться при выполнении условий триггера.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

В разделе действия выберите "Создать новый" (Create a new one), чтобы начать процесс создания приложения логики.

Вы попадете в Azure Logic Apps.

  • Введите имя, группу ресурсов и расположение, а затем выберите "Создать" (Create).

  • В новом приложении логики можно выбрать встроенные стандартные шаблоны из категории "безопасность". Или можно определить пользовательский поток событий, который будет происходить при активации этого процесса.

Конструктор приложений логики поддерживает следующие триггеры Defender для облака:

  • При создании или активации рекомендации Defender для облака. Если приложение логики использует рекомендацию, которая устарела или была заменена, ваша автоматизация перестанет работать. Затем необходимо обновить триггер. Сведения об отслеживании изменений в рекомендациях см. в заметках о выпуске Defender для облака.

  • При создании или активации оповещения Defender для облака можно настроить триггер таким образом, чтобы отправлялись только оповещения с интересующими вас уровнями серьезности.

Screenshot of the Logic App U I and a sample logic app.

Определив приложение логики, вернитесь на панель определения автоматизации рабочего процесса (Add workflow automation). Выберите команду Обновить, чтобы убедиться, что новое приложение логики доступно для выбора.

Выберите приложение логики и сохраните автоматизацию. В раскрывающемся списке приложение логики отображается только Logic Apps с поддержкой соединителей Defender для облака, упомянутых выше.

Запуск приложения логики вручную

Можно также запустить Logic Apps вручную при просмотре любого оповещения или рекомендации по безопасности.

Чтобы вручную запустить приложение логики, откройте оповещение или рекомендацию и выберите элемент "Запустить приложение логики".