Automatización de respuestas de corrección

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos pasos de esos procedimientos como sea posible. Recuerde que la automatización reduce la sobrecarga. También puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus requisitos predefinidos.

En este artículo se describe la característica de automatización de flujos de trabajo de Microsoft Defender for Cloud. Esta característica puede desencadenar aplicaciones lógicas de consumo sobre alertas de seguridad, recomendaciones y cambios en el cumplimiento normativo. Por ejemplo, si quiere que Defender for Cloud envíe un correo electrónico a un usuario específico cuando se produce una alerta. También aprenderá a crear aplicaciones lógicas con Azure Logic Apps.

Antes de comenzar

  • Necesita el rol Administrador de seguridad o Propietario en el grupo de recursos.

  • También debe tener permisos de escritura para el recurso de destino.

  • La característica de automatización de flujos de trabajo admite flujos de trabajo de aplicaciones lógicas de consumo y no flujos de trabajo de aplicaciones lógicas estándar.

  • Para trabajar con flujos de trabajo de Azure Logic Apps, también debe tener los siguientes roles o permisos de Logic Apps:

    • Son necesarios los permisos de Operador de aplicación lógica o el acceso de lectura o desencadenamiento de aplicación lógica (este rol no puede crear ni editar aplicaciones lógicas, solo ejecutar las existentes).
    • Los permisos de Colaborador de la aplicación lógica son necesarios para la creación y modificación de aplicaciones lógicas.
  • Si quiere usar conectores de Logic Apps, es posible que necesite otras credenciales para iniciar sesión en sus servicios respectivos (por ejemplo, en las instancias de Outlook, Teams o Slack)

Creación de una aplicación lógica y definición de cuándo debería ejecutarse automáticamente

  1. En la barra lateral de Defender for Cloud, seleccione Automatización de flujos de trabajo.

    Captura de pantalla de la página de automatización del flujo de trabajo que muestra la lista de automatizaciones definidas.

  2. Desde esta página, cree nuevas reglas de automatización; o bien, puede habilitar, deshabilitar o eliminar las existentes. Un ámbito hace referencia a la suscripción donde se implementa la automatización del flujo de trabajo.

  3. Para definir un nuevo flujo de trabajo, seleccione Adición de automatización de flujo de trabajo. Se abre el panel de opciones de la nueva automatización.

    Panel para agregar automatizaciones de flujos de trabajo.

  4. Escriba lo siguiente:

    • Un nombre y descripción para la automatización.

    • Los desencadenadores que iniciarán este flujo de trabajo automático. Por ejemplo, cuando quiera que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".

      Si el desencadenador es una recomendación que tiene "recomendaciones secundarias", por ejemplo Se deben remediar los resultados de evaluación de vulnerabilidades en las bases de datos SQL, la aplicación lógica no se desencadenará para cada nueva búsqueda de seguridad; solo cuando cambie el estado de la recomendación primaria.

  5. Especifique la aplicación lógica de consumo que se ejecutará cuando se cumplan las condiciones del desencadenador.

  6. En la sección Acciones, seleccione visitar la página de Logic Apps para comenzar el proceso de creación de la aplicación lógica.

    Captura de pantalla en la que se muestra la sección Acciones de la pantalla Agregar automatización de flujos de trabajo y el vínculo para visitar Azure Logic Apps.

    Se le dirigirá a Azure Logic Apps.

  7. Seleccione (+)Agregar.

    Captura de pantalla de dónde crear una aplicación lógica.

  8. Rellene todos los campos obligatorios y seleccione Revisar y crear.

    Aparece el mensaje Implementación en curso. Espere a que aparezca la notificación de implementación completa y seleccione Ir al recurso en la notificación.

  9. Examine la información que ha especificado y seleccione Crear.

    En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la categoría de seguridad. También puede definir un flujo de eventos personalizado para que se active cuando se desencadene este proceso.

    Sugerencia

    A veces, en una aplicación lógica, los parámetros se incluyen en el conector como parte de una cadena y no en su propio campo. Para ver un ejemplo de cómo extraer parámetros, consulte el paso 14 de Trabajo con parámetros de aplicaciones lógicas en la creación de automatizaciones de flujo de trabajo de Microsoft Defender for Cloud.

Desencadenadores admitidos

El diseñador de aplicaciones lógicas admite los siguientes desencadenadores de Defender for Cloud:

  • Cuando se crea o se desencadena una recomendación de Microsoft Defender for Cloud: si la aplicación lógica se basa en una recomendación que entra en desuso o se reemplaza, la automatización dejará de funcionar y deberá actualizar el desencadenador. Para realizar un seguimiento de los cambios en las recomendaciones, use las notas de la versión.

  • Cuando se crea o se desencadena una alerta de Defender for Cloud: puede personalizar el desencadenador para que se refiera solo a las alertas con los niveles de gravedad que le interesen.

  • Cuando se crea o se desencadena una evaluación de cumplimiento normativo de Defender for Cloud: se desencadenan automatizaciones según las actualizaciones de las evaluaciones de cumplimiento normativo.

Nota

Si utiliza el desencadenador heredado "Cuando se desencadena una respuesta a una alerta de Microsoft Defender for Cloud", la característica de automatización de flujos de trabajo no iniciará su instancia de aplicación lógica. En su lugar, use cualquiera de los desencadenadores mencionados anteriormente.

  1. Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo de trabajo ("Agregar automatización de flujos de trabajo").
  2. Seleccione Actualizar para asegurarse de que la nueva aplicación lógica está disponible para su selección.
  3. Seleccione la aplicación lógica y guarde la automatización. La lista desplegable de aplicaciones lógicas solo muestra las que tienen conectores de Defender for Cloud compatibles mencionados anteriormente.

Desencadenado manual de una aplicación lógica

También puede ejecutar aplicaciones lógicas manualmente al ver una alerta o recomendación de seguridad.

Para ejecutar manualmente una aplicación lógica, abra una alerta o recomendación y seleccione Desencadenar aplicación lógica.

Desencadenar manualmente una aplicación lógica.

Configuración de la automatización de flujos de trabajo a gran escala

La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.

Para implementar las configuraciones de automatización en la organización, use las directivas "DeployIfNotExist" de Azure Policy proporcionadas que se describen a continuación para crear y configurar los procedimientos de automatización de flujos de trabajo.

Empiece a usar las plantillas de automatización de flujos de trabajo.

Para implementar estas directivas:

  1. Desde la tabla siguiente, seleccione la directiva que quiere aplicar:

    Objetivo Directiva Id. de directiva
    Automatización de flujos de trabajo para alertas de seguridad Implementación de la automatización de flujos de trabajo para alertas de Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automatización de flujos de trabajo para recomendaciones de seguridad Implementación de la automatización de flujos de trabajo para recomendaciones de Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatización de flujos de trabajo para cambios de cumplimiento normativo Implementación de la automatización de flujos de trabajo para el cumplimiento normativo de Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    También puede encontrarlos buscando Azure Policy. En Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.

  2. En la página pertinente de Azure Policy, seleccione Asignar. Asignación de la directiva de Azure.

  3. En la pestaña Aspectos básicos, establezca el ámbito de la directiva. Para usar la administración centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que usarán la automatización de flujos de trabajo.

  4. En la pestaña Parámetros, escriba la información necesaria.

    Captura de pantalla de la pestaña de parámetros.

  5. Como alternativa, aplique esta asignación a la suscripción existente en la pestaña Corrección y seleccione la opción para crear una tarea de corrección.

  6. Revise la página de resumen y seleccione Crear.

Esquemas de tipos de datos

Para ver los esquemas de eventos sin procesar de las alertas de seguridad o los eventos de recomendaciones que se pasan a la aplicación lógica, consulte los Esquemas de tipos de datos de automatización de flujo de trabajo. Puede resultar útil en los casos en que no se usan los conectores de Logic Apps integrados de Defender for Cloud mencionados anteriormente, sino que alternativamente se usa el conector HTTP genérico; puede usar el esquema JSON del evento para analizarlo manualmente como considere oportuno.

Pasos siguientes

En este artículo, ha obtenido información sobre cómo crear aplicaciones lógicas, automatizar su ejecución en Defender for Cloud y ejecutarlas manualmente. Para más información, consulte la siguiente documentación: