Åtgärda aviseringar och automatisera svar

  • 7 minuter

På Defender för molnet översiktssida väljer du fliken Defender för molnet överst på sidan eller länken i sidofältet.

Screenshot of the Defender for Cloud Alerts list page.

Välj en avisering i listan Säkerhetsaviseringar. En sidoruta öppnas och visar en beskrivning av aviseringen och alla berörda resurser.

Screenshot of the Defender for Cloud Alert Details Flyout.

Om du vill ha mer information väljer du Visa fullständig information.

Den vänstra rutan på sidan med säkerhetsaviseringar visar information på hög nivå om säkerhetsaviseringen: rubrik, allvarlighetsgrad, status, aktivitetstid, beskrivning av den misstänkta aktiviteten och den berörda resursen. Vid sidan av den berörda resursen är Azure-taggarna relevanta för resursen. Använd taggar för att härleda resursens organisationskontext när du undersöker aviseringen.

Det högra fönstret innehåller fliken Aviseringsinformation som innehåller ytterligare information om aviseringen som hjälper dig att undersöka problemet: IP-adresser, filer, processer med mera.

Screenshot of the Defender for Cloud Alert Detail page.

I den högra rutan finns också fliken Vidta åtgärd. Använd den här fliken om du vill vidta ytterligare åtgärder när det gäller säkerhetsaviseringen. Åtgärder som:

  • Åtgärda hotet – tillhandahåller manuella reparationssteg för den här säkerhetsaviseringen

  • Förhindra framtida attacker – ger säkerhetsrekommendationer för att minska attackytan, öka säkerhetsstatusen och därmed förhindra framtida attacker

  • Utlösa automatiserat svar – ger möjlighet att utlösa en logikapp som ett svar på den här säkerhetsaviseringen

  • Ignorera liknande aviseringar – ger möjlighet att förhindra framtida aviseringar med liknande egenskaper om aviseringen inte är relevant för din organisation

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatisera svar

Varje säkerhetsprogram innehåller flera arbetsflöden för incidenthantering. De här processerna kan omfatta att meddela relevanta intressenter, starta en process för förändringshantering och tillämpa vissa reparationssteg. Säkerhetsexperter rekommenderar att du automatiserar så många steg som möjligt i dessa procedurer. Automation minskar kostnaderna. Det kan också förbättra din säkerhet genom att se till att processstegen utförs snabbt, konsekvent och enligt dina fördefinierade krav.

Den här funktionen kan utlösa Logic Apps för säkerhetsaviseringar och rekommendationer. Du kanske till exempel vill Defender för molnet skicka e-post till en viss användare när en avisering inträffar.

Skapa en logikapp och definiera när den ska köras automatiskt

Välj Arbetsflödesautomatisering i Defender för molnet sidofält.

På den här sidan kan du skapa nya automatiseringsregler och aktivera, inaktivera eller ta bort befintliga.

Om du vill definiera ett nytt arbetsflöde väljer du Lägg till arbetsflödesautomation.

Ett fönster visas med alternativen för din nya automatisering. Här kan du ange:

  • Ett namn och en beskrivning för automatiseringen.

  • Utlösare som initierar det här automatiska arbetsflödet. Du kanske till exempel vill att logikappen ska köras när en säkerhetsavisering som innehåller "SQL" genereras.

  • Logikappen som körs när dina utlösarvillkor uppfylls.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

I avsnittet Åtgärder väljer du Skapa en ny för att börja skapa logikappen.

Du kommer till Azure Logic Apps.

  • Ange ett namn, en resursgrupp och en plats och välj Skapa.

  • I den nya logikappen kan du välja mellan inbyggda, fördefinierade mallar från säkerhetskategorin. Eller så kan du definiera ett anpassat flöde av händelser som ska inträffa när den här processen utlöses.

Logikappdesignern stöder följande Defender för molnet utlösare:

  • När en Defender för molnet rekommendation skapas eller utlöses – Om logikappen förlitar sig på en rekommendation som blir inaktuell eller ersatt slutar automatiseringen att fungera. Sedan måste du uppdatera utlösaren. Information om hur du spårar ändringar i rekommendationer finns i Defender för molnet viktig information.

  • När en Defender för molnet avisering skapas eller utlöses – Du kan anpassa utlösaren så att den endast relaterar till aviseringar med de allvarlighetsnivåer som intresserar dig.

Screenshot of the Logic App U I and a sample logic app.

När du har definierat logikappen går du tillbaka till definitionsfönstret för arbetsflödesautomatisering ("Lägg till arbetsflödesautomatisering"). Välj Uppdatera för att se till att den nya logikappen är tillgänglig för val.

Välj logikappen och spara automatiseringen. Listrutan Logikapp visar endast Logic Apps med stöd för Defender för molnet anslutningsappar som nämns ovan.

Utlösa en logikapp manuellt

Du kan också köra Logic Apps manuellt när du visar säkerhetsaviseringar eller rekommendationer.

Om du vill köra en logikapp manuellt öppnar du en avisering eller en rekommendation och väljer Utlösarlogikapp.