Corrección de alertas y automatización de respuestas

  • 7 minutos

En la página de información general de Defender for Cloud, seleccione la pestaña de Defender for Cloud en la parte superior de la página o el vínculo de la barra lateral.

Screenshot of the Defender for Cloud Alerts list page.

En la lista Alertas de seguridad, seleccione una alerta. Se abre un panel lateral en el que se muestra una descripción de la alerta y de todos los recursos afectados.

Screenshot of the Defender for Cloud Alert Details Flyout.

Para más información, seleccione Ver detalles completos.

En el panel izquierdo de la página alerta de seguridad se muestra información de alto nivel sobre la alerta de seguridad: título, gravedad, estado, tiempo de actividad, descripción de la actividad sospechosa y el recurso afectado. Junto con el recurso afectado se encuentran las etiquetas de Azure relevantes para el recurso. Use etiquetas para deducir el contexto de la organización del recurso al investigar la alerta.

En el panel derecho se incluye la pestaña Detalles de alerta que contiene más detalles de la alerta para ayudarle a investigar el problema: Direcciones IP, archivos, procesos, etc.

Screenshot of the Defender for Cloud Alert Detail page.

Además, en el panel derecho se encuentra la pestaña Realizar acción. Use esta pestaña para realizar acciones adicionales con respecto a la alerta de seguridad. Acciones como:

  • Mitigar las amenazas: proporciona pasos de corrección manual para esta alerta de seguridad

  • Evitar ataques futuros: proporciona recomendaciones de seguridad para ayudar a reducir la superficie expuesta a ataques, aumentar la postura de seguridad y así evitar futuros ataques

  • Desencadenar respuesta automatizada: ofrece la opción de desencadenar una aplicación lógica como respuesta a esta alerta de seguridad

  • Suprimir alertas similares: ofrece la opción de suprimir las alertas futuras con características similares si la alerta no es relevante para su organización

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatización de respuestas

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos pasos de esos procedimientos como sea posible. Recuerde que la automatización reduce la sobrecarga. También puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus requisitos predefinidos.

Esta característica puede desencadenar una instancia de Logic Apps sobre alertas y recomendaciones de seguridad. Por ejemplo, si quiere que Defender for Cloud envíe un correo electrónico a un usuario específico cuando se produce una alerta.

Creación de una aplicación lógica y definición de cuándo debería ejecutarse automáticamente

En la barra lateral de Defender for Cloud, seleccione Automatización de flujos de trabajo.

Desde esta página, puede crear reglas de automatización y habilitar, deshabilitar o eliminar las existentes.

Para definir un nuevo flujo de trabajo, seleccione Adición de automatización de flujo de trabajo.

Aparecerá un panel con las opciones de la nueva automatización. Aquí puede escribir lo siguiente:

  • Un nombre y descripción para la automatización.

  • Los desencadenadores que iniciarán este flujo de trabajo automático. Por ejemplo, cuando quiera que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".

  • La aplicación lógica que se ejecutará cuando se cumplan las condiciones del desencadenador.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

En la sección Acciones, seleccione Crear una nueva para comenzar el proceso de creación de la aplicación lógica.

Se le dirigirá a Azure Logic Apps.

  • Escriba un nombre, un grupo de recursos y una ubicación, y seleccione Crear.

  • En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la categoría de seguridad. También puede definir un flujo de eventos personalizado para que se active cuando se desencadene este proceso.

El diseñador de aplicaciones lógicas admite los siguientes desencadenadores de Defender for Cloud:

  • Cuando se crea o se desencadena una recomendación de Defender for Cloud: si la aplicación lógica se basa en una recomendación que entra en desuso o se reemplaza, la automatización dejará de funcionar y deberá actualizar el desencadenador. Para realizar un seguimiento de los cambios en las recomendaciones, consulte las notas de la versión de Defender for Cloud.

  • Cuando se crea o se desencadena una alerta de Defender for Cloud: puede personalizar el desencadenador para que se refiera solo a las alertas con los niveles de gravedad que le interesen.

Screenshot of the Logic App U I and a sample logic app.

Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo de trabajo ("Agregar automatización de flujos de trabajo"). Seleccione Actualizar para asegurarse de que la nueva aplicación lógica está disponible para su selección.

Seleccione la aplicación lógica y guarde la automatización. La lista desplegable Aplicación lógica solo muestra instancias de Logic Apps con los conectores de Defender for Cloud compatibles mencionados anteriormente.

Desencadenado manual de una aplicación lógica

También puede ejecutar Logic Apps manualmente al ver una alerta o recomendación de seguridad.

Para ejecutar manualmente una aplicación lógica, abra una alerta o recomendación y seleccione Desencadenar aplicación lógica.