Náprava výstrah a automatizace odpovědí

  • 7 min

Na stránce přehledu Defenderu pro cloud vyberte kartu Defender for Cloud v horní části stránky nebo odkaz na bočním panelu.

Screenshot of the Defender for Cloud Alerts list page.

V seznamu Výstrahy zabezpečení vyberte výstrahu. Otevře se boční podokno s popisem výstrahy a všech ovlivněných prostředků.

Screenshot of the Defender for Cloud Alert Details Flyout.

Další informace získáte tak, že vyberete Zobrazit úplné podrobnosti.

V levém podokně stránky výstrahy zabezpečení se zobrazují základní informace týkající se výstrahy zabezpečení: název, závažnost, stav, čas aktivity, popis podezřelé aktivity a ovlivněný prostředek. Vedle ovlivněného prostředku jsou značky Azure relevantní pro daný prostředek. Značky slouží k odvození organizačního kontextu prostředku při zkoumání výstrahy.

Pravé podokno obsahuje kartu Podrobnosti výstrahy obsahující další podrobnosti výstrahy, která vám pomůže prozkoumat problém: IP adresy, soubory, procesy a další.

Screenshot of the Defender for Cloud Alert Detail page.

V pravém podokně je také karta Provést akci. Na této kartě můžete provést další akce týkající se výstrahy zabezpečení. Akce, jako jsou:

  • Zmírnění hrozby – poskytuje kroky ruční nápravy pro tuto výstrahu zabezpečení.

  • Prevence budoucích útoků – poskytuje doporučení zabezpečení, která pomáhají snížit prostor pro útoky, zvýšit stav zabezpečení a tím zabránit budoucím útokům.

  • Aktivace automatizované odpovědi – poskytuje možnost aktivovat aplikaci logiky jako odpověď na tuto výstrahu zabezpečení.

  • Potlačit podobné výstrahy – poskytuje možnost potlačit budoucí výstrahy s podobnými vlastnostmi, pokud upozornění není pro vaši organizaci relevantní.

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatizovat odpovědi

Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto postupy mohou zahrnovat vyrozumění relevantních účastníků, spuštění procesu správy změn a použití specifických kroků k nápravě. Odborníci na zabezpečení doporučují automatizovat co nejvíc kroků těchto postupů. Automatizace snižuje režijní náklady. Může také zlepšit zabezpečení tím, že zajistí, aby se kroky procesu prováděly rychle, konzistentně a podle vašich předdefinovaných požadavků.

Tato funkce může aktivovat Logic Apps u výstrah zabezpečení a doporučení. Můžete například chtít, aby Defender for Cloud posíll konkrétnímu uživateli e-mailem, když dojde k upozornění.

Vytvoření aplikace logiky a definování, kdy se má automaticky spustit

Na bočním panelu Defenderu pro Cloud vyberte Automatizaci pracovního postupu.

Na této stránce můžete vytvořit nová pravidla automatizace a povolit, zakázat nebo odstranit existující.

Pokud chcete definovat nový pracovní postup, vyberte Přidat automatizaci pracovního postupu.

Zobrazí se podokno s možnostmi nové automatizace. Tady můžete zadat:

  • Název a popis automatizace

  • Triggery, které zahájí tento automatický pracovní postup. Můžete například chtít, aby se aplikace logiky spustila, když se vygeneruje výstraha zabezpečení obsahující "SQL".

  • Aplikace logiky, která se spustí při splnění podmínek triggeru.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

V části Akce vyberte Vytvořit nový, aby se zahájil proces vytváření aplikace logiky.

Přejdete do Azure Logic Apps.

  • Zadejte název, skupinu prostředků a umístění a vyberte Vytvořit.

  • V nové aplikaci logiky si můžete vybrat z předdefinovaných předdefinovaných šablon z kategorie zabezpečení. Nebo můžete definovat vlastní tok událostí, ke kterým dojde při aktivaci tohoto procesu.

Návrhář aplikací logiky podporuje následující triggery Defenderu pro cloud:

  • Když se vytvoří nebo aktivuje doporučení Defenderu pro cloud – pokud se vaše aplikace logiky spoléhá na doporučení, které se přestane používat nebo nahrazuje, automatizace přestane fungovat. Pak budete muset aktivační událost aktualizovat. Pokud chcete sledovat změny doporučení, přečtěte si poznámky k verzi Defenderu pro cloud.

  • Když se vytvoří nebo aktivuje výstraha Defenderu pro cloud – trigger můžete přizpůsobit tak, aby se vztahuje pouze k výstrahám s úrovněmi závažnosti, které vás zajímají.

Screenshot of the Logic App U I and a sample logic app.

Po definování aplikace logiky se vraťte do podokna definice automatizace pracovního postupu (Přidat automatizaci pracovního postupu). Vyberte Aktualizovat , abyste měli jistotu, že je nová aplikace logiky dostupná pro výběr.

Vyberte aplikaci logiky a uložte automatizaci. V rozevíracím seznamu Aplikace logiky se zobrazí jenom Logic Apps s podporou konektorů Defenderu pro cloud, které jsou uvedené výše.

Ruční aktivace aplikace logiky

Logic Apps můžete spustit také ručně při prohlížení všech výstrah zabezpečení nebo doporučení.

Pokud chcete aplikaci logiky spustit ručně, otevřete upozornění nebo doporučení a vyberte Aktivovat aplikaci logiky.