更正警报和自动响应
在 Defender for Cloud 的概述页面中,选择页面顶部的“Defender for Cloud”选项卡或边栏中的链接。
从“安全警报”列表中,选择一个警报。 此时会打开一个侧窗格,其中显示了警报和所有受影响的资源的说明。
有关详细信息,请选择“查看完整详细信息”。
安全警报页面的左窗格显示有关安全警报的大致信息:标题、严重性、状态、活动时间、可疑活动的说明以及受影响的资源。 除了受影响的资源,还有与资源相关的 Azure 标记。 在调查警报时,使用标记推断资源的组织上下文。
右侧窗格包含“警报详细信息”选项卡,其中包含警报的更多详细信息,用于帮助你调查问题:IP 地址、文件、进程等。
右侧窗格中还包含“执行操作”选项卡。使用此选项卡可以对安全警报执行其他操作。 操作,例如:
缓解威胁 - 为此安全警报提供手动修正步骤
防范将来的攻击 - 提供安全建议,帮助减少攻击面,提高安全状况,从而防范将来的攻击
触发自动响应 - 提供可触发逻辑应用的选项,作为对此安全警报的响应
抑制类似的警报 - 如果警报与组织无关,则提供可抑制具有类似特征的未来警报的选项
自动响应
每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程,以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销, 还可确保根据你预定义的要求快速、一致地执行处理步骤,从而增强安全性。
此功能可根据安全警报和建议触发逻辑应用。 例如,你可能希望 Defender for Cloud 在发生警报时向特定用户发送电子邮件。
创建一个逻辑应用,并定义它应自动运行的时间
在 Defender for Cloud 的边栏中,选择“工作流自动化”。
可在此页上创建新的自动化规则,还可启用、禁用或删除现有规则。
若要定义新工作流,请选择“添加工作流自动化”。
此时会出现一个窗格,其中包含用于新的自动化的选项。 可在此处输入:
自动化的名称和说明。
将启动此自动工作流的触发器。 例如,你可能希望在生成包含“SQL”的安全警报时运行逻辑应用。
满足触发条件时将运行的逻辑应用。
从“操作”部分,选择“新建”以启动逻辑应用创建过程。
你将转到 Azure 逻辑应用。
输入名称、资源组和位置,然后选择“创建”。
在新的逻辑应用中,可从安全类别中选择内置的预定义模板。 也可定义在触发此进程时要发生的自定义事件流。
逻辑应用设计器支持以下 Defender for Cloud 触发器:
创建或触发 Defender for Cloud 建议时 - 如果逻辑应用依赖于已弃用或已替换的建议,自动化将停止工作。 然后,需要更新触发器。 若要跟踪对建议的更改,请参阅 Defender for Cloud 发行说明。
创建或触发 Defender for Cloud 警报时 - 可以自定义触发器,使其仅与你所关注的严重性级别的警报相关。
定义逻辑应用后,回到工作流自动化定义窗格(“添加工作流自动化”)。 选择“刷新”以确保可选择新的逻辑应用。
选择逻辑应用并保存自动化。 “逻辑应用”下拉列表仅显示支持上述 Defender for Cloud 连接器的逻辑应用。
手动触发逻辑应用
查看任何安全警报或建议时,还可手动运行逻辑应用。
若要手动运行逻辑应用,请打开警报或建议,然后选择“触发逻辑应用”。