Szervizelési válaszok automatizálása

  • Cikk

Minden biztonsági program több munkafolyamatot tartalmaz az incidensek kezeléséhez. Ezek a folyamatok tartalmazhatják az érintett felek értesítését, egy változáskezelési folyamat indítását és meghatározott szervizelési lépések alkalmazását. A biztonsági szakértők azt ajánlják, hogy az eljárásoknál a lehető legtöbb lépést automatizálja. Az automatizálás csökkenti a többletterhelést. A folyamat lépéseinek gyors, következetes és az előre meghatározott követelményeknek megfelelően történő végrehajtásával is javíthatja a biztonságot.

Ez a cikk a Felhőhöz készült Microsoft Defender munkafolyamat-automatizálási funkcióját ismerteti. Ez a funkció kiválthatja a használati logikai alkalmazásokat a biztonsági riasztásokon, javaslatokon és a jogszabályi megfelelőség változásain. Előfordulhat például, hogy Felhőhöz készült Defender szeretne e-mailt küldeni egy adott felhasználónak riasztás esetén. Azt is megtudhatja, hogyan hozhat létre logikai alkalmazásokat az Azure Logic Apps használatával.

Előkészületek

  • Biztonsági rendszergazdai szerepkörre vagy tulajdonosra van szüksége az erőforráscsoportban.

  • Írási engedélyekkel is rendelkeznie kell a célerőforráshoz.

  • Az Azure Logic Apps-munkafolyamatok használatához a következő Logic Apps-szerepkörökkel/engedélyekkel is rendelkeznie kell:

    • Logikaialkalmazás-kezelői engedélyekre van szükség, vagy a Logikai alkalmazás olvasási/trigger-hozzáférése (ez a szerepkör nem tud logikai alkalmazásokat létrehozni vagy szerkeszteni, csak meglévőket futtatni )
    • A logikaialkalmazás-közreműködői engedélyek szükségesek a logikai alkalmazások létrehozásához és módosításához.

  • Ha Logic Apps-összekötőket szeretne használni, előfordulhat, hogy más hitelesítő adatokra van szüksége a saját szolgáltatásaikba (például az Outlook/Teams/Slack-példányokba) való bejelentkezéshez.

Logikai alkalmazás létrehozása és annak automatikus futtatása

  1. A Felhőhöz készült Defender oldalsávján válassza a Munkafolyamat automatizálása lehetőséget.

    Screenshot of workflow automation page showing the list of defined automations.

  2. Ezen a lapon hozzon létre új automatizálási szabályokat, engedélyezze, tiltsa le vagy törölje a meglévőket. A hatókör arra az előfizetésre vonatkozik, amelyben a munkafolyamat-automatizálás üzembe van helyezve.

  3. Új munkafolyamat definiálásához válassza a Munkafolyamat-automatizálás hozzáadása lehetőséget. Megnyílik az új automatizálás beállítások panelje.

    Add workflow automations pane.

  4. Adja meg a következőket:

    • Az automatizálás neve és leírása.

    • Az automatikus munkafolyamatot kezdeményező eseményindítók. Előfordulhat például, hogy azt szeretné, hogy a logikai alkalmazás akkor fusson, ha létrejön egy "SQL"-t tartalmazó biztonsági riasztás.

      Ha az eseményindító olyan javaslat, amely "aljavaslatokkal" rendelkezik, például orvosolni kell az SQL-adatbázisok sebezhetőségi felmérési eredményeit, a logikai alkalmazás nem aktiválódik minden új biztonsági megállapítás esetében, csak akkor, ha a szülőjavaslat állapota megváltozik.

  5. Adja meg azt a használatlogika-alkalmazást, amely az eseményindító feltételeinek teljesülésekor fog futni.

  6. A Műveletek szakaszban válassza a Logic Apps lap felkeresését a logikai alkalmazás létrehozásának megkezdéséhez.

    Screenshot that shows the actions section of the add workflow automation screen and the link to visit Azure Logic Apps.

    A rendszer az Azure Logic Appsbe viszi.

  7. Válassza a (+) Hozzáadás lehetőséget.

    Screenshot of where to create a logic app.

  8. Töltse ki az összes szükséges mezőt, és válassza a Véleményezés + Létrehozás lehetőséget.

    Megjelenik az üzembe helyezés folyamatban lévő üzenet. Várja meg, amíg az üzembe helyezés teljes értesítése megjelenik, és válassza az Erőforrás megnyitása lehetőséget az értesítésből.

  9. Tekintse át a megadott adatokat, és válassza a Létrehozás lehetőséget.

    Az új logikai alkalmazásban a biztonsági kategória beépített, előre definiált sablonjai közül választhat. Vagy megadhat egy egyéni eseményfolyamot is, amely a folyamat aktiválásakor következik be.

    Tipp.

    A logikai alkalmazásokban néha a paraméterek egy sztring részeként szerepelnek az összekötőben, és nem a saját mezőjükben. A paraméterek kinyerésének módját a logikai alkalmazásparaméterek használatának 14. lépésében találhatja meg Felhőhöz készült Microsoft Defender munkafolyamat-automatizálások létrehozásakor.

Támogatott eseményindítók

A logikai alkalmazás tervezője a következő Felhőhöz készült Defender eseményindítókat támogatja:

  • Ha létrejön vagy aktiválódik egy Felhőhöz készült Microsoft Defender javaslat – Ha a logikai alkalmazás elavult vagy lecserélt javaslatra támaszkodik, az automatizálás leáll, és frissítenie kell az eseményindítót. A javaslatok módosításainak nyomon követéséhez használja a kibocsátási megjegyzéseket.

  • Ha Felhőhöz készült Defender riasztás jön létre vagy aktiválódik – Testre szabhatja az eseményindítót, hogy az csak az Önt érdeklő súlyossági szintekkel rendelkező riasztásokhoz kapcsolódjon.

  • Ha Felhőhöz készült Defender szabályozási megfelelőségi értékelés jön létre vagy aktiválódik – A szabályozási megfelelőségi értékelések frissítései alapján automatizálásokat indíthat el.

Megjegyzés:

Ha az örökölt eseményindítót használja "Amikor egy Felhőhöz készült Microsoft Defender riasztásra adott válasz aktiválódik", a logikai alkalmazásokat nem indítja el a Munkafolyamat-automatizálás funkció. Ehelyett használja a fent említett triggerek egyikét.

  1. A logikai alkalmazás definiálása után térjen vissza a munkafolyamat-automatizálás definíciós paneljére ("Munkafolyamat-automatizálás hozzáadása").
  2. Válassza a Frissítés lehetőséget, hogy az új logikai alkalmazás elérhető legyen a kiválasztáshoz.
  3. Válassza ki a logikai alkalmazást, és mentse az automatizálást. A logikai alkalmazás legördülő menüje csak azokat jeleníti meg, amelyek támogatják a fent említett Felhőhöz készült Defender összekötőket.

Logikai alkalmazás manuális aktiválása

A logikai alkalmazásokat manuálisan is futtathatja biztonsági riasztások vagy javaslatok megtekintésekor.

Logikai alkalmazás manuális futtatásához nyisson meg egy riasztást vagy egy javaslatot, és válassza a Trigger logikai alkalmazás lehetőséget.

Manually trigger a logic app.

Munkafolyamat-automatizálás konfigurálása nagy léptékben

A szervezet monitorozási és incidenskezelési folyamatainak automatizálása jelentősen javíthatja a biztonsági incidensek kivizsgálásához és enyhítéséhez szükséges időt.

Az automatizálási konfigurációk szervezeten belüli üzembe helyezéséhez használja az alább ismertetett Azure Policy "DeployIfNotExist" szabályzatokat a munkafolyamat-automatizálási eljárások létrehozásához és konfigurálásához.

A munkafolyamat-automatizálási sablonok használatának első lépései.

A szabályzatok implementálása:

  1. Az alábbi táblázatból válassza ki az alkalmazni kívánt szabályzatot:

    Goal Policy Szabályzat azonosítója
    Munkafolyamat-automatizálás biztonsági riasztásokhoz Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-riasztásokhoz f1525828-9a90-4fcf-be48-268cdd02361e
    Munkafolyamat-automatizálás biztonsági javaslatokhoz Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-javaslatokhoz 73d6ab6c-2475-4850-afd6-43795f3492ef
    Munkafolyamat-automatizálás a jogszabályi megfelelőség változásaihoz Munkafolyamat-automatizálás üzembe helyezése Felhőhöz készült Microsoft Defender jogszabályi megfelelőséghez 509122b9-dddd9-47ba-a5f1-d0dac20be63c

    Ezeket az Azure Policyban is megtalálhatja. Az Azure Policyban válassza a Definíciók lehetőséget, és keressen rájuk név szerint.

  2. A vonatkozó Azure Policy-lapon válassza a Hozzárendelés lehetőséget. Assigning the Azure Policy.

  3. Az Alapismeretek lapon állítsa be a szabályzat hatókörét. A központosított felügyelet használatához rendelje hozzá a szabályzatot a munkafolyamat-automatizálási konfigurációt használó előfizetéseket tartalmazó felügyeleti csoporthoz.

  4. A Paraméterek lapon adja meg a szükséges információkat.

    Screenshot of the parameters tab.

  5. Ha szeretné, alkalmazza ezt a hozzárendelést egy meglévő előfizetésre a Szervizelés lapon, és válassza ki a szervizelési feladat létrehozásának lehetőségét.

  6. Tekintse át az összefoglaló lapot, és válassza a Létrehozás lehetőséget.

Adattípusok sémái

A logikai alkalmazásnak átadott biztonsági riasztások vagy javaslatok eseménysémáinak nyers eseménysémáinak megtekintéséhez látogasson el a Munkafolyamat-automatizálás adattípus-sémáiba. Ez akkor lehet hasznos, ha nem Felhőhöz készült Defender fent említett beépített Logic Apps-összekötőit használja, hanem az általános HTTP-összekötőt használja – az esemény JSON-sémájával manuálisan elemezheti azt, ahogy ön látja.

Következő lépések

Ebben a cikkben megismerhette a logikai alkalmazások létrehozását, a végrehajtás automatizálását Felhőhöz készült Defender, és manuálisan futtatta őket. További információért lásd a következő dokumentációt: