Automatisieren von Korrekturantworten

  • Artikel

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch Automatisierung wird der Aufwand reduziert. Außerdem können Sie so die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, konsistent und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.

In diesem Artikel wird das Feature für die Workflowautomatisierung von Microsoft Defender für Cloud beschrieben. Dieses Feature kann Verbrauchs-Logik-Apps bei Sicherheitswarnungen, Empfehlungen und Änderungen der Einhaltung gesetzlicher Bestimmungen auslösen. Beispielsweise können Sie festlegen, dass von Defender für Cloud eine E-Mail an einen bestimmten Benutzer gesendet wird, wenn eine Warnung auftritt. Sie werden ebenfalls erfahren, wie Sie Logik-Apps mithilfe von Azure Logic Apps erstellen.

Vorbereitung

  • Sie benötigen die Rolle Sicherheitsadministrator oder Besitzer für die Ressourcengruppe.

  • Außerdem sind Schreibberechtigungen für die Zielressource erforderlich.

  • Das Feature für die Workflowautomatisierung unterstützt Workflows der Verbrauchslogik-App und nicht die Workflows von Standardlogik-Apps.

  • Damit Sie Azure Logic Apps-Workflows verwenden können, benötigen Sie zudem die folgenden Logic Apps-Rollen/-Berechtigungen:

    • Die Berechtigungen der Rolle Logik-App-Operator oder der Lese-/Triggerzugriff für Logik-Apps sind erforderlich. (Diese Rolle kann keine Logik-Apps erstellen oder bearbeiten, sondern nur vorhandene ausführen.)
    • Die Berechtigungen der Rolle Logik-App-Mitwirkender sind für die Erstellung und Änderung von Logik-Apps erforderlich.

  • Wenn Sie Logic Apps-Connectors verwenden möchten, benötigen Sie möglicherweise andere Anmeldeinformationen für die Anmeldung bei den jeweiligen Diensten (z. B. Ihren Instanzen von Outlook/Teams/Slack).

Erstellen einer Logik-App und Definieren des Zeitpunkts ihrer automatischen Ausführung

  1. Wählen Sie in der Randleiste von Defender für Cloud die Option Workflowautomatisierung aus.

    Screenshot der Seite „Workflowautomatisierung“ mit der Liste der definierten Automatisierungen.

  2. Auf dieser Seite können Sie neue Automatisierungsregeln erstellen sowie vorhandene aktivieren, deaktivieren oder löschen. Ein Bereich verweist auf das Abonnement, in dem die Workflowautomatisierung bereitgestellt wird.

  3. Um einen neuen Workflow zu definieren, wählen Sie Workflowautomatisierung hinzufügen aus. Der Bereich „Optionen“ für Ihre neue Automatisierung wird geöffnet.

    Bereich „Workflowautomatisierung hinzufügen“.

  4. Geben Sie Folgendes ein:

    • Einen Namen und eine Beschreibung für die Automatisierung

    • Die Trigger zum Auslösen dieses automatischen Workflows. Sie möchten beispielsweise, dass Ihre Logik-Anwendung ausgeführt wird, wenn eine Sicherheitswarnung generiert wird, die „SQL“ enthält.

      Wenn Ihr Trigger eine Empfehlung mit „untergeordneten Empfehlungen“ ist, z. B. Ergebnisse der Sicherheitsrisikobewertung in Ihren SQL Datenbanken müssen beseitigt werden, wird die Logik-App nicht bei jedem neuen Sicherheitsergebnis ausgelöst, sondern nur dann, wenn sich der Status der übergeordneten Empfehlung ändert.

  5. Geben Sie die Verbrauchs-Logik-App an, die ausgeführt wird, wenn Ihre Triggerbedingungen erfüllt sind.

  6. Wählen Sie im Abschnitt „Aktionen“ die Option Logic Apps-Seite besuchen aus, um mit dem Prozess für die Logik-App-Erstellung zu beginnen.

    Screenshot, der den Abschnitt „Aktionen“ des Bildschirms „Workflowautomatisierung hinzufügen“ zeigt, und den Link, um Azure Logic Apps zu besuchen.

    Sie werden zu Azure Logic Apps umgeleitet.

  7. Wählen Sie (+) Hinzufügen aus.

    Screenshot: Erstellen einer Logik-App

  8. Füllen Sie alle erforderlichen Felder aus, und wählen Sie Überprüfen und erstellen aus.

    Die Meldung Bereitstellung wird durchgeführt wird angezeigt. Warten Sie, bis die Benachrichtigung „Bereitstellung abgeschlossen“ angezeigt wird, und wählen Sie darin Zu Ressource wechseln aus.

  9. Überprüfen Sie die eingegebenen Informationen, und wählen Sie Erstellen aus.

    Sie können in Ihrer neuen Logik-App zwischen integrierten, vordefinierten Vorlagen der Kategorie „Sicherheit“ auswählen. Sie können aber auch einen benutzerdefinierten Ereignisflow definieren, der beim Auslösen dieses Prozesses gestartet wird.

    Tipp

    Manchmal sind in einer Logikanwendung Parameter im Connector als Teil einer Zeichenfolge und nicht in einem eigenen Feld enthalten. Ein Beispiel für das Extrahieren von Parametern finden Sie in Schritt 14 unter Arbeiten mit Parametern der Logik-App beim Erstellen von Microsoft Defender für Cloud-Workflowautomatisierungen.

Unterstützte Trigger

Der Logik-App-Designer unterstützt die folgenden Defender für Cloud-Trigger:

  • Bei Erstellung oder Auslösung einer Microsoft Defender für Cloud-Empfehlung: Wenn Ihre Logik-App auf einer Empfehlung basiert, die veraltet ist oder ersetzt wird, funktioniert die Automatisierung nicht mehr, und Sie müssen den Trigger aktualisieren. Informationen zum Nachverfolgen der Änderungen von Empfehlungen finden Sie in den Versionshinweisen.

  • Bei Erstellung oder Auslösung einer Defender für Cloud-Warnung: Sie können den Trigger so anpassen, dass er nur für Warnungen mit den für sie interessanten Schweregraden gilt.

  • Bei Erstellung oder Auslösung einer Bewertung der Einhaltung gesetzlicher Vorschriften durch Defender für Cloud: Sie können festlegen, dass Automatisierungen basierend auf den Aktualisierungen von Bewertungen der Einhaltung gesetzlicher Vorschriften ausgelöst werden.

Hinweis

Wenn Sie den älteren Trigger „Beim Auslösen einer Antwort auf eine Microsoft Defender für Cloud-Warnung“ verwenden, wird Ihre Logik-App nicht von der Funktion zur Workflowautomatisierung gestartet. Verwenden Sie stattdessen einen der oben genannten Trigger.

  1. Kehren Sie nach dem Definieren Ihrer Logik-App zum Bereich zur Definition der Workflowautomatisierung („Workflowautomatisierung hinzufügen“) zurück.
  2. Wählen Sie Aktualisieren aus, um sicherzustellen, dass Ihre neue Logik-App für die Auswahl verfügbar ist.
  3. Wählen Sie die Logik-App aus, und speichern Sie die Automatisierung. In der Dropdownliste „Logik-App“ werden nur Logik-Apps angezeigt, welche die oben erwähnten Defender for Cloud-Connectors unterstützen.

Manuelles Auslösen einer Logik-App

Sie können Logik-Apps auch manuell ausführen, wenn Sie sich eine beliebige Sicherheitswarnung oder -empfehlung ansehen.

Um eine Logik-App manuell auszuführen, öffnen Sie eine Warnung oder eine Empfehlung und wählen Sie Logik-App auslösen aus.

Manuelles Auslösen einer Logik-App.

Konfigurieren der Workflowautomatisierung im großen Maßstab

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.

Verwenden Sie für die Bereitstellung Ihrer Automatisierungskonfigurationen in Ihrer Organisation die unten beschriebenen von Azure Policy bereitgestellten „DeployIfNotExist“-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für die Workflowautomatisierung.

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

So implementieren Sie diese Richtlinien

  1. Klicken Sie in der folgenden Tabelle auf die Richtlinie, die Sie anwenden möchten:

    Zielsetzung Richtlinie Richtlinien-ID
    Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
    Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef
    Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Sie können auch in Azure Policy nach diesen Richtlinien suchen. Klicken Sie in Azure Policy auf Definitionen, und suchen Sie nach dem Namen der gewünschten Richtlinie.

  2. Klicken Sie auf der entsprechenden Azure Policy-Seite auf Zuweisen. Zuweisen der Azure-Richtlinie.

  3. Legen Sie auf der Registerkarte Grundeinstellungen den Bereich für die Richtlinie fest. Weisen Sie die Richtlinie für eine zentrale Verwaltung der Verwaltungsgruppe mit den Abonnements zu, die die Konfiguration für die Workflowautomatisierung verwenden sollen.

  4. Geben Sie auf der Registerkarte Parameter die erforderlichen Informationen ein.

    Screenshot: Registerkarte „Parameter“

  5. (Optional) Wenden Sie diese Zuweisung auf der Registerkarte Wartung auf ein vorhandenes Abonnement an, und wählen Sie die Option zum Erstellen eines Wartungstasks aus.

  6. Überprüfen Sie die Seite „Zusammenfassung“, und klicken Sie auf Erstellen.

Datentypenschemas

Um die unformatierten Ereignisschemas der Sicherheitswarnungen oder Empfehlungsereignisse anzuzeigen, die an die Logik-App übergeben wurden, besuchen Sie die Datentypenschemas für die Workflowautomatisierung. Dies kann in Fällen nützlich sein, wenn Sie nicht die oben genannten integrierten Logik-App-Connectors von Defender for Cloud verwenden, sondern den generischen HTTP-Connector der Logik-App – Sie könnten bei Bedarf das JSON-Ereignisschema verwenden, um es manuell zu parsen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Logik-Apps erstellen, deren Ausführung in Defender for Cloud automatisieren und sie manuell ausführen. Weitere Informationen finden Sie in der folgenden Dokumentation: