Automatizace odpovědí na nápravu

Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto procesy můžou zahrnovat oznámení relevantních zúčastněných stran, zahájení procesu správy změn a použití konkrétních nápravových kroků.

Odborníci na zabezpečení doporučují automatizovat tolik kroků bezpečnostních postupů, kolik můžete. Automatizace snižuje režijní náklady. Může také zlepšit zabezpečení tím, že zajistí, aby se kroky procesu prováděly rychle, konzistentně a podle vašich předdefinovaných požadavků.

Tento článek popisuje funkci automatizace pracovních postupů v programu Microsoft Defender for Cloud. Tato funkce může aktivovat aplikace logiky spotřeby u výstrah zabezpečení, doporučení a změn dodržování právních předpisů. Můžete například chtít, aby Defender for Cloud posíll konkrétnímu uživateli e-mailem, když dojde k upozornění. Naučíte se také vytvářet aplikace logiky pomocí Azure Logic Apps.

Požadavky

Než začnete, potřebujete:

  • Ve skupině prostředků musíte mít roli správce zabezpečení nebo vlastníka .

  • Pro cílový prostředek musíte mít oprávnění k zápisu.

  • Pokud chcete pracovat s pracovními postupy Azure Logic Apps, musíte mít následující role nebo oprávnění Logic Apps:

    • Oprávnění operátora aplikace logiky jsou povinná nebo přístup ke čtení nebo aktivaci aplikace logiky. Uživatelé s touto rolí nemůžou vytvářet ani upravovat aplikace logiky. Můžou spouštět jenom ty existující.
    • Oprávnění přispěvatele aplikace logiky jsou nutná k vytvoření a úpravě aplikace logiky.

  • Pokud chcete používat konektory Logic Apps, možná budete potřebovat další přihlašovací údaje pro přihlášení k příslušným službám (například k instancím Outlooku, Teams nebo Slacku).

Vytvoření aplikace logiky a definování, kdy se má automaticky spustit

Postupujte následovně:

  1. Na bočním panelu Defenderu pro cloud vyberte Automatizaci pracovního postupu.

    Snímek obrazovky znázorňující podokno automatizace pracovního postupu se seznamem definovaných automatizací

  2. Na této stránce můžete vytvořit nová pravidla automatizace nebo povolit, zakázat nebo odstranit existující pravidla. Rozsah se vztahuje na předplatné, ve kterém je nasazena automatizace pracovního postupu.

  3. Pokud chcete definovat nový pracovní postup, vyberte Přidat automatizaci pracovního postupu. Otevře se podokno možností pro vaši novou automatizaci.

    Snímek obrazovky znázorňující podokno Automatizace pracovního postupu

  4. Zadejte následující:

    • Název a popis automatizace
    • Triggery, které zahájí tento automatický pracovní postup. Můžete například chtít, aby se aplikace logiky spustila, když výstraha zabezpečení vygeneruje, která obsahuje frázi SQL.

  5. Zadejte logic app pro spotřebu, která se spustí, když jsou splněny podmínky spouštěče.

  6. V části Akce vyberte stránku Logic Apps , kde zahájíte proces vytvoření aplikace logiky.

    Snímek obrazovky znázorňující část Akce na obrazovce Přidat automatizaci pracovního postupu a odkaz pro přechod na Azure Logic Apps

    Přejdete do Azure Logic Apps.

  7. Vyberte (+) Přidat.

  8. Vyplňte všechna povinná pole a pak vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky znázorňující, kde vytvořit aplikaci logiky

    Zobrazí se zpráva Nasazení probíhá. Počkejte, až se zobrazí oznámení o dokončení nasazení , a pak vyberte Přejít k prostředku.

  9. Zkontrolujte zadané informace a pak vyberte Vytvořit.

    V nové logické aplikaci si můžete vybrat z předdefinovaných šablon z kategorie zabezpečení. Nebo můžete definovat vlastní tok událostí, ke kterým dochází při aktivaci tohoto procesu.

    Návod

    V některých případech jsou parametry součástí aplikace logiky v konektoru jako součást řetězce a ne v jejich vlastním poli. Příklad extrakce parametrů najdete v kroku 14 práce s parametry aplikace logiky při vytváření automatizace pracovních postupů v programu Microsoft Defender for Cloud.

Podporované triggery

Návrhář aplikací logiky podporuje následující triggery Defenderu pro cloud:

  • Když se vytvoří nebo aktivuje doporučení v programu Microsoft Defender for Cloud: Pokud vaše aplikace logiky spoléhá na doporučení, které se přestane používat nebo nahrazuje, vaše automatizace přestane fungovat a potřebujete ji aktualizovat. Pokud chcete sledovat změny doporučení, použijte poznámky k verzi.

  • Když se vytvoří nebo aktivuje upozornění Defender Pro Cloud: Spouštěč můžete přizpůsobit tak, aby souvisel pouze s upozorněními s úrovněmi závažnosti, které vás zajímají.

  • Když se vytvoří nebo aktivuje posouzení dodržování právních předpisů v programu Defender for Cloud: Chcete aktivovat automatizace na základě aktualizací posouzení dodržování právních předpisů.

Poznámka:

Pokud používáte starší verzi triggeru „Při spuštění odpovědi na upozornění Microsoft Defender for Cloud“, funkce Automatizace pracovního postupu neotevře vaše aplikace Logic Apps. Místo toho použijte některý z výše uvedených triggerů.

  1. Po definování aplikace logiky se vraťte do podokna Přidat automatizaci pracovního postupu .

  2. Vyberte Aktualizovat , abyste měli jistotu, že je nová aplikace logiky k dispozici pro výběr.

  3. Vyberte aplikaci logiky a pak automatizaci uložte. V rozevírací nabídce se zobrazují jenom aplikace logiky, které podporují konektory Defenderu pro cloud.

Ruční aktivace aplikace logiky

Aplikace logiky můžete spustit také ručně, když zobrazíte jakékoli výstrahy zabezpečení nebo doporučení.

Pokud chcete aplikaci logiky spustit ručně, otevřete upozornění nebo doporučení a pak vyberte Aktivovat aplikaci logiky.

Snímek obrazovky znázorňující ruční aktivaci aplikace logiky

Konfigurace automatizace pracovních postupů ve velkém měřítku

Když automatizujete procesy monitorování a reakce na incidenty vaší organizace, může se výrazně zlepšit doba potřebnou k prošetření a zmírnění bezpečnostních incidentů.

Pokud chcete nasadit konfigurace automatizace ve vaší organizaci, použijte zadané zásady Azure Policy DeployIfNotExist (uvedené později) k vytvoření a konfiguraci postupů automatizace pracovních postupů.

Začínáme se šablonami automatizace pracovních postupů

Implementace těchto zásad:

  1. V následující tabulce vyberte zásadu, kterou chcete použít:

    Goal Policy ID zásady
    Automatizace pracovních postupů pro výstrahy zabezpečení Nasazení automatizace pracovních postupů pro upozornění Microsoft Defenderu pro cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automatizace pracovních postupů pro doporučení zabezpečení Nasazení automatizace pracovních postupů pro doporučení Microsoft Defenderu pro cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatizace pracovních postupů pro změny dodržování právních předpisů Nasazení automatizace pracovních postupů pro Microsoft Defender pro dodržování právních předpisů v cloudu 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Zásady můžete najít také vyhledáváním ve službě Azure Policy. V Azure Policy vyberte Definice a vyhledejte je podle názvu.

  2. Na příslušné stránce Azure Policy vyberte Přiřadit.

    Snímek obrazovky, který ukazuje, jak přiřadit zásady Azure

  3. Na kartě Základy nastavte rozsah pro zásadu. Pokud chcete použít centralizovanou správu, přiřaďte zásadu skupině pro správu , která obsahuje předplatná, která používají konfiguraci automatizace pracovního postupu.

  4. Na kartě Parametry zadejte požadované informace.

    Snímek obrazovky znázorňující kartu Parametry

  5. (Volitelné) Toto přiřazení použijte u existujícího předplatného na kartě Náprava a pak vyberte možnost pro vytvoření úlohy nápravy.

  6. Zkontrolujte stránku souhrnu a pak vyberte Vytvořit.

Schémata datových typů

Pokud chcete zobrazit nezpracovaná schémata událostí výstrah zabezpečení nebo událostí doporučení předávaných do aplikace logiky, přejděte do schémat datových typů pro automatizaci pracovního postupu. Tento proces může být užitečný v případech, kdy nepoužíváte defender pro cloud integrované konektory Logic Apps (uvedené dříve), ale místo toho používáte obecný konektor HTTP. Schéma JSON události můžete použít k ruční analýze podle potřeby.

Související obsah

  • Last updated on