Automatizace odpovědí na nápravu

  • Článek

Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto postupy mohou zahrnovat vyrozumění relevantních účastníků, spuštění procesu správy změn a použití specifických kroků k nápravě. Odborníci na zabezpečení doporučují automatizovat co nejvíc kroků těchto postupů. Automatizace snižuje režijní náklady. Může také zlepšit zabezpečení tím, že zajistí, aby se kroky procesu prováděly rychle, konzistentně a podle vašich předdefinovaných požadavků.

Tento článek popisuje funkci automatizace pracovních postupů v programu Microsoft Defender for Cloud. Tato funkce může aktivovat aplikace logiky spotřeby u výstrah zabezpečení, doporučení a změn dodržování právních předpisů. Můžete například chtít, aby Defender for Cloud posíll konkrétnímu uživateli e-mailem, když dojde k upozornění. Naučíte se také vytvářet aplikace logiky pomocí Azure Logic Apps.

Než začnete

  • Ve skupině prostředků potřebujete roli správce zabezpečení nebo vlastníka .

  • Musíte mít také oprávnění k zápisu pro cílový prostředek.

  • Funkce automatizace pracovních postupů podporuje pracovní postupy aplikací logiky consumption a ne standardní pracovní postupy aplikací logiky.

  • Pokud chcete pracovat s pracovními postupy Azure Logic Apps, musíte mít také následující role a oprávnění Logic Apps:

    • Oprávnění operátora aplikace logiky jsou povinná nebo oprávnění ke čtení a triggeru aplikace logiky (tato role nemůže vytvářet ani upravovat aplikace logiky, pouze spouštět existující)
    • Oprávnění přispěvatele aplikace logiky jsou nutná k vytvoření a úpravě aplikace logiky.

  • Pokud chcete používat konektory Logic Apps, možná budete potřebovat další přihlašovací údaje pro přihlášení k příslušným službám (například k instancím Outlooku, Teams nebo Slacku).

Vytvoření aplikace logiky a definování, kdy se má automaticky spustit

  1. Na bočním panelu Defenderu pro Cloud vyberte Automatizaci pracovního postupu.

    Snímek obrazovky se stránkou automatizace pracovního postupu zobrazující seznam definovaných automatizací

  2. Na této stránce vytvořte nová pravidla automatizace, povolte, zakažte nebo odstraňte existující pravidla. Obor odkazuje na předplatné, ve kterém je nasazena automatizace pracovního postupu.

  3. Pokud chcete definovat nový pracovní postup, vyberte Přidat automatizaci pracovního postupu. Otevře se podokno možností pro vaši novou automatizaci.

    Přidání podokna automatizace pracovních postupů

  4. Zadejte následující údaje:

    • Název a popis automatizace

    • Triggery, které zahájí tento automatický pracovní postup. Můžete například chtít, aby se aplikace logiky spustila, když se vygeneruje výstraha zabezpečení obsahující "SQL".

      Pokud je vaším triggerem doporučení, které obsahuje dílčí doporučení, například zjištění posouzení ohrožení zabezpečení u databází SQL by se měla napravit, aplikace logiky se neaktivuje pro každé nové hledání zabezpečení, pouze když se změní stav nadřazeného doporučení.

  5. Zadejte aplikaci logiky consumption, která se spustí při splnění podmínek triggeru.

  6. V části Akce vyberte stránku Logic Apps a zahajte proces vytváření aplikace logiky.

    Snímek obrazovky znázorňující oddíl akcí na obrazovce Pro automatizaci přidání pracovního postupu a odkaz na návštěvu Azure Logic Apps

    Přejdete do Azure Logic Apps.

  7. Vyberte (+) Přidat.

    Snímek obrazovky s umístěním pro vytvoření aplikace logiky

  8. Vyplňte všechna povinná pole a vyberte Zkontrolovat a vytvořit.

    Zobrazí se zpráva Nasazení . Počkejte, až se zobrazí oznámení o dokončení nasazení, a v oznámení vyberte Přejít k prostředku .

  9. Zkontrolujte zadané informace a vyberte Vytvořit.

    V nové aplikaci logiky si můžete vybrat z předdefinovaných předdefinovaných šablon z kategorie zabezpečení. Nebo můžete definovat vlastní tok událostí, ke kterým dojde při aktivaci tohoto procesu.

    Tip

    V aplikaci logiky se parametry někdy do konektoru zahrnou jako součást řetězce a ne do vlastního pole. Příklad extrakce parametrů najdete v kroku 14 práce s parametry aplikace logiky při sestavování automatizace pracovních postupů v programu Microsoft Defender for Cloud.

Podporované triggery

Návrhář aplikací logiky podporuje následující triggery Defenderu pro cloud:

  • Když se vytvoří nebo aktivuje doporučení v programu Microsoft Defender pro cloud – pokud vaše aplikace logiky spoléhá na doporučení, které se přestane používat nebo nahrazuje, automatizace přestane fungovat a budete muset trigger aktualizovat. Pokud chcete sledovat změny doporučení, použijte poznámky k verzi.

  • Když se vytvoří nebo aktivuje výstraha Defenderu pro cloud – trigger můžete přizpůsobit tak, aby se vztahuje pouze k výstrahám s úrovněmi závažnosti, které vás zajímají.

  • Když se vytvoří nebo aktivuje posouzení dodržování právních předpisů v defenderu pro cloud – aktivuje se automatizace na základě aktualizací posouzení dodržování právních předpisů.

Poznámka:

Pokud používáte starší verzi triggeru "Když se aktivuje odpověď na upozornění Microsoft Defenderu pro cloud", aplikace logiky se nespustí pomocí funkce Automatizace pracovního postupu. Místo toho použijte některý z výše uvedených triggerů.

  1. Po definování aplikace logiky se vraťte do podokna definice automatizace pracovního postupu (Přidat automatizaci pracovního postupu).
  2. Vyberte Aktualizovat , abyste měli jistotu, že je nová aplikace logiky k dispozici pro výběr.
  3. Vyberte aplikaci logiky a uložte automatizaci. Rozevírací seznam aplikace logiky zobrazuje jenom ty, které podporují konektory Defenderu pro cloud uvedené výše.

Ruční aktivace aplikace logiky

Aplikace logiky můžete také spouštět ručně při prohlížení všech výstrah zabezpečení nebo doporučení.

Pokud chcete aplikaci logiky spustit ručně, otevřete upozornění nebo doporučení a vyberte Spustit aplikaci logiky.

Ruční aktivace aplikace logiky

Konfigurace automatizace pracovních postupů ve velkém měřítku

Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.

Pokud chcete nasadit konfigurace automatizace ve vaší organizaci, použijte zadané zásady Azure Policy DeployIfNotExist popsané níže a vytvořte a nakonfigurujte postupy automatizace pracovního postupu.

Začínáme se šablonami automatizace pracovních postupů

Implementace těchto zásad:

  1. V následující tabulce vyberte zásadu, kterou chcete použít:

    Goal Zásady ID zásady
    Automatizace pracovních postupů pro výstrahy zabezpečení Nasazení automatizace pracovních postupů pro upozornění Microsoft Defenderu pro cloud f1525828-9a90-4fcf-be48-268cd02361e
    Automatizace pracovních postupů pro doporučení zabezpečení Nasazení automatizace pracovních postupů pro doporučení Microsoft Defenderu pro cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatizace pracovních postupů pro změny dodržování právních předpisů Nasazení automatizace pracovních postupů pro Microsoft Defender pro dodržování právních předpisů v cloudu 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Najdete je také vyhledáváním ve službě Azure Policy. V Azure Policy vyberte Definice a vyhledejte je podle názvu.

  2. Na příslušné stránce Azure Policy vyberte Přiřadit. Přiřazení služby Azure Policy

  3. Na kartě Základy nastavte obor pro zásadu. Pokud chcete použít centralizovanou správu, přiřaďte zásadu skupině pro správu obsahující předplatná, která budou používat konfiguraci automatizace pracovního postupu.

  4. Na kartě Parametry zadejte požadované informace.

    Snímek obrazovky s kartou Parametry

  5. Volitelně můžete toto přiřazení použít u existujícího předplatného na kartě Náprava a výběrem možnosti vytvořit úlohu nápravy.

  6. Zkontrolujte stránku souhrnu a vyberte Vytvořit.

Schémata datových typů

Pokud chcete zobrazit nezpracovaná schémata událostí výstrah zabezpečení nebo událostí doporučení předaných aplikaci logiky, navštivte schémata datových typů automatizace pracovního postupu. To může být užitečné v případech, kdy nepoužíváte Defender for Cloud integrovaných konektorů Logic Apps uvedených výše, ale místo toho používáte obecný konektor HTTP – schéma JSON události můžete použít k ruční analýze podle potřeby.

Další kroky

V tomto článku jste se dozvěděli o vytváření aplikací logiky, automatizaci jejich spouštění v defenderu pro cloud a jejich ručním spuštění. Další informace najdete v následující dokumentaci: