Munkafolyamat-automatizálás használata a válaszok automatizálásához
Egy jól ismert fenyegetés esetén a reagálás, ha azt gyorsan végrehajtják, kisebb bosszúsággá mérsékelheti a kimaradást vagy az adatok kijutását. Ha például szolgáltatásmegtagadási támadást észlelnek egy IP-címtartományból, akkor a tipikus reagálás ennek az IP-címtartománynak a tiltása lehet a tűzfalon.
Felhőhöz készült Microsoft Defender egy úgynevezett funkciót biztosítMunkafolyamat-automatizálás az ilyen típusú válaszok végrehajtásához adott biztonsági riasztások észlelésekor.
Mi az Felhőhöz készült Microsoft Defender munkafolyamat-automatizálása?
A munkafolyamat-automatizálás olyan csoportosított eljárások gyűjteménye, amelyeket a biztonsági válaszcsapat egyetlen kattintással végrehajthat. Ezeket az eljárásokat egy adott riasztás észlelésekor Felhőhöz készült Defender hajtja végre. Ezek a műveletek nem aktiválódnak automatikusan; emberi beavatkozást igényelnek.
A munkafolyamat-automatizálás az Azure Logic Apps szolgáltatásra épül. A logika és a munkafolyamat egyszerűen testre szabható a vizuális munkafolyamat-tervezővel. Egy meglévő logikai alkalmazással kezdhet, vagy létrehozhat egy új logikai alkalmazást. Ezután a Felhőhöz készült Defender használatával aktiválhatja azt egy riasztás létrehozásakor.
Az előre elkészített műveletek közé tartoznak a következők:
- Automatizált incidensjelentés létrehozása egy másik rendszerben, és a mezők kitöltése az aktív riasztásból
- E-mail küldése egy terjesztési csoportnak az aktív riasztás(ok) részleteivel
- Értesítés küldése egy Teams- vagy Slack-csatornára
Mivel azonban a Logic Apps az Azure Functions szolgáltatással és webhookokkal is integrálható, a lehetséges műveletek száma végtelen. Képzeljen el egy esetet, amikor egy ügyfél helytelenül használják a szolgáltatást, és riasztást generál a Felhőhöz készült Defender. Létrehozhat egy egyéni Azure-függvényt a forrás IP-cím riasztásból való levételéhez, és létrehozhat egy szabályt a tűzfalon, amely letiltja az adott címről érkező összes bejövő forgalmat. Ennek a függvénynek a vizualizációja a következőképpen nézhet ki:
