Uso de una automatización de flujo de trabajo para automatizar respuestas

  • 6 minutos

A menudo, la respuesta para una amenaza de seguridad específica es conocida y, si se realiza con rapidez, puede convertir una interrupción o divulgación de datos en una molestia secundaria. Por ejemplo, cuando se detecta un ataque por denegación de servicio desde un intervalo de direcciones IP, una respuesta típica podría ser bloquear ese intervalo en el firewall.

Microsoft Defender for Cloud ofrece una característica denominada Automatización de flujo de trabajo para ejecutar estos tipos de respuestas cuando se detectan alertas de seguridad específicas.

¿Qué es la Automatización de flujos de trabajo en Microsoft Defender for Cloud?

Una automatización de flujo de trabajo es una colección de procedimientos agrupados que el equipo de respuesta de seguridad puede ejecutar con un solo clic. Estos procedimientos se ejecutan en Defender for Cloud cuando se detecta una alerta específica. Estas acciones no se desencadenan de manera automática; necesitan interacción humana para ejecutarse.

Las automatizaciones de flujo de trabajo se basan en Azure Logic Apps. Resulta sencillo personalizar la lógica y el flujo de trabajo mediante el diseñador de flujo de trabajo visual. Puede empezar con una aplicación lógica existente o crear una. Después, puede usar Defender for Cloud para desencadenarla cuando se genere una alerta.

Algunas de las acciones predefinidas son las siguientes:

  • Crear un informe de incidentes automatizado en otro sistema y rellenar los campos de la alerta activa
  • Enviar por correo electrónico a un grupo de distribución los detalles sobre las alertas activas
  • Enviar una notificación a un canal de Teams o Slack

Pero como Logic Apps puede integrar Azure Functions y webhooks, las acciones posibles son infinitas. Imagine un caso en el que un cliente usa de forma incorrecta el servicio y genera una alerta en Defender for Cloud. Puede crear una función de Azure personalizada para tomar la dirección IP de origen de la alerta y crear una regla en el firewall para bloquear todo el tráfico entrante desde esa dirección. Una representación visual de esta función podría tener un aspecto similar al siguiente:

Diagram showing an architecture using an Azure Function in a workflow automation.