Riasztások szervizelése és válaszok automatizálása

  • 7 perc

Felhőhöz készült Defender áttekintő lapján válassza az oldal tetején található Felhőhöz készült Defender lapot vagy az oldalsávon lévő hivatkozást.

Screenshot of the Defender for Cloud Alerts list page.

A Biztonsági riasztások listából válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.

Screenshot of the Defender for Cloud Alert Details Flyout.

További információkért válassza a Teljes adatok megtekintése lehetőséget.

A biztonsági riasztás oldalának bal oldali ablaktábláján a biztonsági riasztással kapcsolatos magas szintű információk láthatók: cím, súlyosság, állapot, tevékenység ideje, a gyanús tevékenység leírása és az érintett erőforrás. Az érintett erőforrás mellett az azure-címkék is relevánsak az erőforráshoz. Címkék használatával következtethet az erőforrás szervezeti környezetére a riasztás vizsgálatakor.

A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.

Screenshot of the Defender for Cloud Alert Detail page.

A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:

  • A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz

  • Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez

  • Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként

  • Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára

Screenshot of the Defender for Cloud Alert Take Action tab.

Válaszok automatizálása

Minden biztonsági program több munkafolyamatot tartalmaz az incidensek kezeléséhez. Ezek a folyamatok tartalmazhatják az érintett felek értesítését, egy változáskezelési folyamat indítását és meghatározott szervizelési lépések alkalmazását. A biztonsági szakértők azt ajánlják, hogy az eljárásoknál a lehető legtöbb lépést automatizálja. Az automatizálás csökkenti a többletterhelést. A folyamat lépéseinek gyors, következetes és az előre meghatározott követelményeknek megfelelően történő végrehajtásával is javíthatja a biztonságot.

Ez a funkció aktiválhatja a Logic Appst a biztonsági riasztásokon és javaslatokon. Előfordulhat például, hogy Felhőhöz készült Defender szeretne e-mailt küldeni egy adott felhasználónak riasztás esetén.

Logikai alkalmazás létrehozása és annak automatikus futtatása

A Felhőhöz készült Defender oldalsávján válassza a Munkafolyamat automatizálása lehetőséget.

Ezen a lapon létrehozhat új automatizálási szabályokat, és engedélyezheti, letilthatja vagy törölheti a meglévőket.

Új munkafolyamat definiálásához válassza a Munkafolyamat-automatizálás hozzáadása lehetőséget.

Megjelenik egy panel az új automatizálás beállításaival. Itt adhatja meg a következőt:

  • Az automatizálás neve és leírása.

  • Az automatikus munkafolyamatot kezdeményező eseményindítók. Előfordulhat például, hogy azt szeretné, hogy a logikai alkalmazás akkor fusson, ha létrejön egy "SQL"-t tartalmazó biztonsági riasztás.

  • A logikai alkalmazás, amely az eseményindító feltételeinek teljesülésekor fog futni.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

A Műveletek szakaszban válassza az Új létrehozása lehetőséget a logikai alkalmazás létrehozásának megkezdéséhez.

A rendszer az Azure Logic Appsbe viszi.

  • Adjon meg egy nevet, erőforráscsoportot és helyet, és válassza a Létrehozás lehetőséget.

  • Az új logikai alkalmazásban a biztonsági kategória beépített, előre definiált sablonjai közül választhat. Vagy megadhat egy egyéni eseményfolyamot is, amely a folyamat aktiválásakor következik be.

A logikai alkalmazás tervezője a következő Felhőhöz készült Defender eseményindítókat támogatja:

  • Amikor létrehoz vagy aktivál egy Felhőhöz készült Defender javaslatot – Ha a logikai alkalmazás elavult vagy lecserélt javaslatra támaszkodik, az automatizálás leáll. Ezután frissítenie kell az eseményindítót. A javaslatok módosításainak nyomon követéséhez tekintse meg Felhőhöz készült Defender kibocsátási megjegyzéseket.

  • Ha Felhőhöz készült Defender riasztás jön létre vagy aktiválódik – Testre szabhatja az eseményindítót, hogy az csak az Önt érdeklő súlyossági szintekkel rendelkező riasztásokhoz kapcsolódjon.

Screenshot of the Logic App U I and a sample logic app.

A logikai alkalmazás definiálása után térjen vissza a munkafolyamat-automatizálás definíciós paneljére ("Munkafolyamat-automatizálás hozzáadása"). Válassza a Frissítés lehetőséget, és győződjön meg arról, hogy az új logikai alkalmazás elérhető a kiválasztáshoz.

Válassza ki a logikai alkalmazást, és mentse az automatizálást. A Logic App legördülő menüben csak a Logic Apps látható, amely támogatja a fent említett Felhőhöz készült Defender összekötőket.

Logikai alkalmazás manuális aktiválása

A Logic Appst manuálisan is futtathatja biztonsági riasztások vagy javaslatok megtekintésekor.

Logikai alkalmazás manuális futtatásához nyisson meg egy riasztást vagy egy javaslatot, és válassza a Trigger Logic App lehetőséget.