Riasztások szervizelése és válaszok automatizálása
Felhőhöz készült Defender áttekintő lapján válassza az oldal tetején található Felhőhöz készült Defender lapot vagy az oldalsávon lévő hivatkozást.
A Biztonsági riasztások listából válasszon ki egy riasztást. Megnyílik egy oldalpanel, amelyen a riasztás és az összes érintett erőforrás leírása látható.
További információkért válassza a Teljes adatok megtekintése lehetőséget.
A biztonsági riasztás oldalának bal oldali ablaktábláján a biztonsági riasztással kapcsolatos magas szintű információk láthatók: cím, súlyosság, állapot, tevékenység ideje, a gyanús tevékenység leírása és az érintett erőforrás. Az érintett erőforrás mellett az azure-címkék is relevánsak az erőforráshoz. Címkék használatával következtethet az erőforrás szervezeti környezetére a riasztás vizsgálatakor.
A jobb oldali panelen található a Riasztás részletei lap, amely további részleteket tartalmaz a riasztásról a probléma kivizsgálásához: IP-címek, fájlok, folyamatok stb.
A jobb oldali panelen található a Művelet végrehajtása lap is. Ezen a lapon további műveleteket hajthat végre a biztonsági riasztással kapcsolatban. Műveletek, például:
A fenyegetés elhárítása – manuális szervizelési lépéseket biztosít ehhez a biztonsági riasztáshoz
Jövőbeli támadások megelőzése – biztonsági javaslatokat nyújt a támadási felület csökkentéséhez, a biztonsági helyzet növeléséhez, és ezáltal a jövőbeli támadások megelőzéséhez
Automatikus válasz aktiválása – lehetővé teszi egy logikai alkalmazás aktiválását a biztonsági riasztásra adott válaszként
Hasonló riasztások letiltása – lehetővé teszi a hasonló jellemzőkkel rendelkező jövőbeli riasztások letiltására, ha a riasztás nem releváns a szervezet számára
Válaszok automatizálása
Minden biztonsági program több munkafolyamatot tartalmaz az incidensek kezeléséhez. Ezek a folyamatok tartalmazhatják az érintett felek értesítését, egy változáskezelési folyamat indítását és meghatározott szervizelési lépések alkalmazását. A biztonsági szakértők azt ajánlják, hogy az eljárásoknál a lehető legtöbb lépést automatizálja. Az automatizálás csökkenti a többletterhelést. A folyamat lépéseinek gyors, következetes és az előre meghatározott követelményeknek megfelelően történő végrehajtásával is javíthatja a biztonságot.
Ez a funkció aktiválhatja a Logic Appst a biztonsági riasztásokon és javaslatokon. Előfordulhat például, hogy Felhőhöz készült Defender szeretne e-mailt küldeni egy adott felhasználónak riasztás esetén.
Logikai alkalmazás létrehozása és annak automatikus futtatása
A Felhőhöz készült Defender oldalsávján válassza a Munkafolyamat automatizálása lehetőséget.
Ezen a lapon létrehozhat új automatizálási szabályokat, és engedélyezheti, letilthatja vagy törölheti a meglévőket.
Új munkafolyamat definiálásához válassza a Munkafolyamat-automatizálás hozzáadása lehetőséget.
Megjelenik egy panel az új automatizálás beállításaival. Itt adhatja meg a következőt:
Az automatizálás neve és leírása.
Az automatikus munkafolyamatot kezdeményező eseményindítók. Előfordulhat például, hogy azt szeretné, hogy a logikai alkalmazás akkor fusson, ha létrejön egy "SQL"-t tartalmazó biztonsági riasztás.
A logikai alkalmazás, amely az eseményindító feltételeinek teljesülésekor fog futni.
A Műveletek szakaszban válassza az Új létrehozása lehetőséget a logikai alkalmazás létrehozásának megkezdéséhez.
A rendszer az Azure Logic Appsbe viszi.
Adjon meg egy nevet, erőforráscsoportot és helyet, és válassza a Létrehozás lehetőséget.
Az új logikai alkalmazásban a biztonsági kategória beépített, előre definiált sablonjai közül választhat. Vagy megadhat egy egyéni eseményfolyamot is, amely a folyamat aktiválásakor következik be.
A logikai alkalmazás tervezője a következő Felhőhöz készült Defender eseményindítókat támogatja:
Amikor létrehoz vagy aktivál egy Felhőhöz készült Defender javaslatot – Ha a logikai alkalmazás elavult vagy lecserélt javaslatra támaszkodik, az automatizálás leáll. Ezután frissítenie kell az eseményindítót. A javaslatok módosításainak nyomon követéséhez tekintse meg Felhőhöz készült Defender kibocsátási megjegyzéseket.
Ha Felhőhöz készült Defender riasztás jön létre vagy aktiválódik – Testre szabhatja az eseményindítót, hogy az csak az Önt érdeklő súlyossági szintekkel rendelkező riasztásokhoz kapcsolódjon.
A logikai alkalmazás definiálása után térjen vissza a munkafolyamat-automatizálás definíciós paneljére ("Munkafolyamat-automatizálás hozzáadása"). Válassza a Frissítés lehetőséget, és győződjön meg arról, hogy az új logikai alkalmazás elérhető a kiválasztáshoz.
Válassza ki a logikai alkalmazást, és mentse az automatizálást. A Logic App legördülő menüben csak a Logic Apps látható, amely támogatja a fent említett Felhőhöz készült Defender összekötőket.
Logikai alkalmazás manuális aktiválása
A Logic Appst manuálisan is futtathatja biztonsági riasztások vagy javaslatok megtekintésekor.
Logikai alkalmazás manuális futtatásához nyisson meg egy riasztást vagy egy javaslatot, és válassza a Trigger Logic App lehetőséget.