Automatiser les réponses de correction

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. D’une part, l’automatisation réduit votre charge de travail. D’autre part, elle contribue à renforcer votre sécurité en garantissant que les étapes des processus sont effectuées rapidement, de manière cohérente et selon vos exigences prédéfinies.

Cet article décrit la fonctionnalité d’automatisation de workflow de Microsoft Defender pour le cloud. Cette fonctionnalité peut déclencher des applications logiques de consommation en fonction d’alertes de sécurité, de recommandations et de changements de la conformité réglementaire. Par exemple, vous pouvez définir que Defender pour le cloud envoie un e-mail à un utilisateur donné quand une alerte se produit. Vous apprenez également à créer des applications logiques avec Azure Logic Apps.

Prérequis

Avant de commencer :

• Vous avez besoin du Rôle d’administrateur de sécurité ou Propriétaire sur le groupe de ressources.

• Vous devez également disposer d’autorisations en écriture sur la ressource cible.

• Pour utiliser des workflows Azure Logic Apps, vous devez également disposer des autorisations/rôles Logic Apps suivants :

  • Les autorisations Opérateur d’application logique sont nécessaires pour lire/déclencher des applications logiques (ce rôle ne permet pas la création ni la modification d’applications logiques ; il sert uniquement à exécuter des applications existantes)
  • Les autorisations Contributeur d’application logique sont nécessaires pour la création et la modification d’applications logiques.

• Si vous souhaitez utiliser des connecteurs Logic Apps, vous pouvez avoir besoin d’autres informations d’identification pour vous connecter à leurs services respectifs (par exemple, vos instances Outlook/Teams/Slack).

Créer une application logique et définir le moment de son exécution automatique

Effectuez les étapes suivantes :

1. Dans la barre latérale de Defender pour le cloud, sélectionnez Automatisation du workflow.

   

2. À partir de cette page, créez des règles d’automatisation, activez, désactivez ou supprimez des règles existantes. Une étendue fait référence à l’abonnement au sein duquel l’automatisation du flux de travail est déployée.

3. Pour définir un nouveau workflow, sélectionnez Add workflow automation (Ajouter une automatisation de workflow). Le volet Options de votre nouvelle automatisation s’ouvre.

   

4. Entrez les informations suivantes :

   • Le nom et la description de l’automatisation.
   • Les déclencheurs qui lanceront l’exécution de ce workflow automatique. Par exemple, vous pouvez définir que votre application logique s’exécute quand une alerte de sécurité contenant « SQL » est générée.

5. Spécifiez l’application logique de consommation à exécuter quand vos conditions de déclenchement sont remplies.

6. Dans la section Actions, sélectionnez Accéder à la page Logic Apps pour commencer le processus de création de l’application logique.

   

   Vous êtes redirigé vers le service Azure Logic Apps.

7. Sélectionnez (+) Ajouter.

   

8. Renseignez tous les champs obligatoires, puis sélectionnez Vérifier + Créer.

   Le message Le déploiement est en cours s’affiche. Attendez que la notification de fin de déploiement s’affiche et sélectionnez Accéder à la ressource dans la notification.

9. Vérifiez les informations que vous avez entrées, puis sélectionnez Créer.

   Dans votre nouvelle application logique, vous pouvez choisir des modèles prédéfinis intégrés dans la catégorie Sécurité. Vous pouvez aussi définir un workflow personnalisé des événements attendus au déclenchement de ce processus.

   Conseil

   Parfois, dans une application logique, les paramètres sont inclus dans le connecteur dans le cadre d’une chaîne et non dans leur propre champ. Pour obtenir un exemple d’extraction de paramètres, consultez l’étape 14 de Utilisation des paramètres de l’application logique lors de la génération d’automatisations des workflows Microsoft Defender pour le cloud.

Déclencheurs pris en charge

Le concepteur d’applications logiques prend en charge les déclencheurs Defender pour le Cloud suivants :

• Quand une recommandation Microsoft Defender pour le cloud est créée ou déclenchée : si votre application logique repose sur une suggestion qui est déconseillée ou remplacée, votre automatisation cesse de fonctionner et vous devez mettre à jour le déclencheur. Pour suivre les modifications apportées aux recommandations, utilisez les notes de publication.

• Quand une alerte Defender pour le cloud est créée ou déclenchée : vous pouvez personnaliser le déclencheur pour qu’il ne concerne que les alertes dont les niveaux de gravité vous intéressent.

• Quand une évaluation Defender pour le cloud de la conformité réglementaire est créée ou déclenchée : déclenchez des automatisations en fonction des mises à jour apportées aux évaluations de conformité réglementaire.

Remarque

Si vous utilisez le déclencheur hérité Quand une réponse à une alerte Microsoft Defender pour le cloud est déclenchée, votre application logique n’est pas lancée par la fonctionnalité Automatisation des flux de travail. À la place, utilisez l’un des déclencheurs mentionnés ci-dessus.

1. Après avoir défini votre application logique, revenez au volet de définition de l’automatisation des workflows (« Ajouter une automatisation de workflow »).

2. Sélectionnez Actualiser pour que votre nouvelle application logique soit disponible pour la sélection.

3. Sélectionnez votre application logique et enregistrez l’automatisation. La liste déroulante des applications logiques affiche uniquement celles qui ont les connecteurs Defender pour le cloud pris en charge mentionnés ci-dessus.

Déclencher manuellement une application logique

Vous pouvez également exécuter des applications logiques manuellement en cas d’alerte ou de recommandation de sécurité.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis sélectionnez Déclencher l’application logique.

Configurer l’automatisation des flux de travail à grande échelle

L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.

Pour déployer vos configurations d’automatisation à l’échelle de votre organisation, utilisez les stratégies Azure Policy « DeployIfdNotExist » fournies qui sont décrites ci-dessous pour créer et configurer les procédures d’automatisation des workflows.

Prise en main des modèles d’automatisation de flux de travail.

Pour implémenter ces stratégies :

1. Dans le tableau ci-dessous, sélectionnez la stratégie que vous souhaitez appliquer :

   Objectif	Stratégie	ID de stratégie
   Automatisation du flux de travail pour les alertes de sécurité	Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud	f1525828-9a90-4fcf-be48-268cdd02361e
   Automatisation du flux de travail pour les recommandations de sécurité	Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud	73d6ab6c-2475-4850-afd6-43795f3492ef
   Automatisation des workflows pour les modifications de conformité réglementaire	Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   Vous pouvez également les trouver en faisant une recherche dans Azure Policy. Dans Azure Policy, sélectionnez Définitions et recherchez-les par nom.

2. Dans la page Azure Policy appropriée, sélectionnez Attribuer.

3. Sous l’onglet Général, définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, attribuez la stratégie au groupe d’administration contenant les abonnements qui utiliseront la configuration de l’automatisation des workflows.

4. Dans l’onglet Paramètres, entrez les informations nécessaires.

   

5. De manière facultative, vous pouvez appliquer cette attribution à un abonnement existant dans l’onglet Correction et sélectionner l’option permettant de créer une tâche de correction.

6. Consultez la page de résumé et sélectionnez Créer.

   Schémas des types de données

   Pour voir les schémas d’événements bruts des alertes de sécurité ou les recommandations que les événements ont passées à l’application logique, consultez Schémas des types de données pour l’automatisation de workflow. Cela peut être utile si vous n’utilisez pas les connecteurs Logic Apps intégrés à Defender pour le cloud mentionnés ci-dessus, mais que vous utilisez le connecteur HTTP générique à la place. Vous pouvez utiliser le schéma JSON d’événement pour l’analyser manuellement comme vous le souhaitez.

Contenu connexe

• Utiliser une automatisation de workflow pour automatiser une réponse de sécurité
• Recommandations de sécurité dans Microsoft Defender pour le cloud
• Alertes de sécurité dans Microsoft Defender pour le cloud

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. D’une part, l’automatisation réduit votre charge de travail. D’autre part, elle contribue à renforcer votre sécurité en garantissant que les étapes des processus sont effectuées rapidement, de manière cohérente et selon vos exigences prédéfinies.

Cet article décrit la fonctionnalité d’automatisation de workflow de Microsoft Defender pour le cloud. Cette fonctionnalité peut déclencher des applications logiques de consommation en fonction d’alertes de sécurité, de recommandations et de changements de la conformité réglementaire. Par exemple, vous pouvez définir que Defender pour le cloud envoie un e-mail à un utilisateur donné quand une alerte se produit. Vous apprenez également à créer des applications logiques avec Azure Logic Apps.

Avant de commencer :

• Vous avez besoin du Rôle d’administrateur de sécurité ou Propriétaire sur le groupe de ressources.

• Vous devez également disposer d’autorisations en écriture sur la ressource cible.

• Pour utiliser des workflows Azure Logic Apps, vous devez également disposer des autorisations/rôles Logic Apps suivants :

  • Les autorisations Opérateur d’application logique sont nécessaires pour lire/déclencher des applications logiques (ce rôle ne permet pas la création ni la modification d’applications logiques ; il sert uniquement à exécuter des applications existantes)
  • Les autorisations Contributeur d’application logique sont nécessaires pour la création et la modification d’applications logiques.

• Si vous souhaitez utiliser des connecteurs Logic Apps, vous pouvez avoir besoin d’autres informations d’identification pour vous connecter à leurs services respectifs (par exemple, vos instances Outlook/Teams/Slack).

Effectuez les étapes suivantes :

1. Dans la barre latérale de Defender pour le cloud, sélectionnez Automatisation du workflow.

   

2. À partir de cette page, créez des règles d’automatisation, activez, désactivez ou supprimez des règles existantes. Une étendue fait référence à l’abonnement au sein duquel l’automatisation du flux de travail est déployée.

3. Pour définir un nouveau workflow, sélectionnez Add workflow automation (Ajouter une automatisation de workflow). Le volet Options de votre nouvelle automatisation s’ouvre.

   

4. Entrez les informations suivantes :

   • Le nom et la description de l’automatisation.
   • Les déclencheurs qui lanceront l’exécution de ce workflow automatique. Par exemple, vous pouvez définir que votre application logique s’exécute quand une alerte de sécurité contenant « SQL » est générée.

5. Spécifiez l’application logique de consommation à exécuter quand vos conditions de déclenchement sont remplies.

6. Dans la section Actions, sélectionnez Accéder à la page Logic Apps pour commencer le processus de création de l’application logique.

   

   Vous êtes redirigé vers le service Azure Logic Apps.

7. Sélectionnez (+) Ajouter.

   

8. Renseignez tous les champs obligatoires, puis sélectionnez Vérifier + Créer.

   Le message Le déploiement est en cours s’affiche. Attendez que la notification de fin de déploiement s’affiche et sélectionnez Accéder à la ressource dans la notification.

9. Vérifiez les informations que vous avez entrées, puis sélectionnez Créer.

   Dans votre nouvelle application logique, vous pouvez choisir des modèles prédéfinis intégrés dans la catégorie Sécurité. Vous pouvez aussi définir un workflow personnalisé des événements attendus au déclenchement de ce processus.

   Conseil

   Parfois, dans une application logique, les paramètres sont inclus dans le connecteur dans le cadre d’une chaîne et non dans leur propre champ. Pour obtenir un exemple d’extraction de paramètres, consultez l’étape 14 de Utilisation des paramètres de l’application logique lors de la génération d’automatisations des workflows Microsoft Defender pour le cloud.

Le concepteur d’applications logiques prend en charge les déclencheurs Defender pour le Cloud suivants :

• Quand une recommandation Microsoft Defender pour le cloud est créée ou déclenchée : si votre application logique repose sur une suggestion qui est déconseillée ou remplacée, votre automatisation cesse de fonctionner et vous devez mettre à jour le déclencheur. Pour suivre les modifications apportées aux recommandations, utilisez les notes de publication.

• Quand une alerte Defender pour le cloud est créée ou déclenchée : vous pouvez personnaliser le déclencheur pour qu’il ne concerne que les alertes dont les niveaux de gravité vous intéressent.

• Quand une évaluation Defender pour le cloud de la conformité réglementaire est créée ou déclenchée : déclenchez des automatisations en fonction des mises à jour apportées aux évaluations de conformité réglementaire.

Remarque

Si vous utilisez le déclencheur hérité Quand une réponse à une alerte Microsoft Defender pour le cloud est déclenchée, votre application logique n’est pas lancée par la fonctionnalité Automatisation des flux de travail. À la place, utilisez l’un des déclencheurs mentionnés ci-dessus.

1. Après avoir défini votre application logique, revenez au volet de définition de l’automatisation des workflows (« Ajouter une automatisation de workflow »).

2. Sélectionnez Actualiser pour que votre nouvelle application logique soit disponible pour la sélection.

3. Sélectionnez votre application logique et enregistrez l’automatisation. La liste déroulante des applications logiques affiche uniquement celles qui ont les connecteurs Defender pour le cloud pris en charge mentionnés ci-dessus.

Vous pouvez également exécuter des applications logiques manuellement en cas d’alerte ou de recommandation de sécurité.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis sélectionnez Déclencher l’application logique.

Configurer l’automatisation des flux de travail à grande échelle

L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.

Pour déployer vos configurations d’automatisation à l’échelle de votre organisation, utilisez les stratégies Azure Policy « DeployIfdNotExist » fournies qui sont décrites ci-dessous pour créer et configurer les procédures d’automatisation des workflows.

Prise en main des modèles d’automatisation de flux de travail.

Pour implémenter ces stratégies :

1. Dans le tableau ci-dessous, sélectionnez la stratégie que vous souhaitez appliquer :

   Objectif	Stratégie	ID de stratégie
   Automatisation du flux de travail pour les alertes de sécurité	Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud	f1525828-9a90-4fcf-be48-268cdd02361e
   Automatisation du flux de travail pour les recommandations de sécurité	Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud	73d6ab6c-2475-4850-afd6-43795f3492ef
   Automatisation des workflows pour les modifications de conformité réglementaire	Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   Vous pouvez également les trouver en faisant une recherche dans Azure Policy. Dans Azure Policy, sélectionnez Définitions et recherchez-les par nom.

2. Dans la page Azure Policy appropriée, sélectionnez Attribuer.

3. Sous l’onglet Général, définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, attribuez la stratégie au groupe d’administration contenant les abonnements qui utiliseront la configuration de l’automatisation des workflows.

4. Dans l’onglet Paramètres, entrez les informations nécessaires.

   

5. De manière facultative, vous pouvez appliquer cette attribution à un abonnement existant dans l’onglet Correction et sélectionner l’option permettant de créer une tâche de correction.

6. Consultez la page de résumé et sélectionnez Créer.

   Schémas des types de données

   Pour voir les schémas d’événements bruts des alertes de sécurité ou les recommandations que les événements ont passées à l’application logique, consultez Schémas des types de données pour l’automatisation de workflow. Cela peut être utile si vous n’utilisez pas les connecteurs Logic Apps intégrés à Defender pour le cloud mentionnés ci-dessus, mais que vous utilisez le connecteur HTTP générique à la place. Vous pouvez utiliser le schéma JSON d’événement pour l’analyser manuellement comme vous le souhaitez.