Gyakorlat – Forgatókönyv konfigurálása biztonsági eseményhez

  • 10 perc

A munkafolyamat-automatizálások közvetlenül a Felhőhöz készült Defender portálon jönnek létre.

Fontos

A megadott utasítások használatához Microsoft 365-ös e-mail-fiókra lesz szüksége. Ha nincs ilyenje, módosítsa az alábbi utasításokat egy másik sablon használatára, vagy hozzon létre egy üres logikai alkalmazást.

  1. Jelentkezzen be az Azure Portalra ugyanazzal a fiókkal, amellyel aktiválta az Azure Sandboxot.

  2. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender a keresőmező használatával. Megjelenik Felhőhöz készült Defender Áttekintés panelje.

  3. A bal oldali menüpanel Felügyelet csoportjában válassza a Munkafolyamat-automatizálás lehetőséget.

  4. A felső menüsávon válassza a + Munkafolyamat-automatizálás hozzáadása lehetőséget egy új automatizálás létrehozásához. Megjelenik a Munkafolyamat-automatizálás hozzáadása panel.

  5. Minden beállításhoz adja meg a következő értékeket:

    Setting Érték
    Általános
    Név RespondToMalwareAlert
    Előfizetés Concierge-előfizetés
    Erőforráscsoport [Learn erőforráscsoport]
    Aktiválási feltételek
    Felhőhöz készült Defender adattípusok kiválasztása Biztonsági riasztás
    A riasztás neve tartalmazza a következőt Kártevő
    A riasztás súlyossága Minden kijelölt súlyosság

  6. A Műveletek területen kiválaszthat egy meglévő Azure Logic App-alkalmazást, vagy létrehozhat egy újat. Mivel még nem rendelkezünk ilyennel, válassza a Logic Apps oldalhivatkozását egy új Logikai alkalmazás létrehozásához.

    Megjelenik a Logic Apps panel. Mielőtt továbblépne, győződjön meg róla, hogy továbbra is a Microsoft Learn-tesztkörnyezet könyvtárában van.

  7. A felső menüsávon válassza a (+ Hozzáadás) lehetőséget. Megjelenik a Logikai alkalmazás létrehozása panel.

  8. Az Alapszintű beállítások lapon adja meg az alábbi értékeket az egyes beállításokhoz:

    Setting Érték
    Projekt részletei
    Előfizetés Concierge-előfizetés
    Erőforráscsoport [Learn erőforráscsoport]
    Példány részletei
    Logikai alkalmazás neve RespondToMalwareAlert
    Konstrukció típusa Consumption

    Megjegyzés:

    A logikai alkalmazásnak egyedi névre van szüksége. Ha a javasolt név nem érhető el, módosítsa, vagy válasszon másik nevet.

    A többi mezőnél fogadja el az alapértelmezett beállításokat.

    Screenshot that shows the Create Logic App pane in the Azure portal.

  9. Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget. Az alkalmazás létrehozása igénybe vehet egy-két percet. A létrehozást az Értesítések ikonnal figyelheti, vagy a Képernyő frissítéséhez válassza a Frissítés lehetőséget.

  10. A logikai alkalmazás létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.

  11. A bal oldali menüBen válassza a Logikai alkalmazás tervezőjelehetőséget a Fejlesztési eszközök területen.

  12. Görgessen le a Sablonok szakaszhoz, és válassza a Kategória legördülő lista Biztonság elemét.

  13. Válassza az Értesítési e-mail kérése lehetőséget, ha Felhőhöz készült Defender észlel egy fenyegetést, majd válassza a Sablon használata lehetőséget. Akkor is választhatja az Üres logikai alkalmazást , ha egyéni logikát szeretne létrehozni egy riasztásra válaszul való futtatáshoz, vagy ha nem rendelkezik Microsoft 365-alapú e-mail-fiókkal.

    Screenshot that shows the security options from Logic apps.

  14. Válassza a Bejelentkezési hivatkozást az Office 365 Outlook párbeszédpanelen. Adja meg az Office 365 Outlook hitelesítő adatait az e-mail-fiók csatlakoztatásához. Az érvényesítés után a tulajdonos e-mail-címe megjelenik az Office 365 Outlook-összekötőben.

  15. Válassza az Új hozzáadása lehetőséget a Csatlakozás ions mezőben. Ez összekapcsolja a logikai alkalmazást a Felhőhöz készült Microsoft Defender.

    Megjegyzés:

    Ha a panel nem frissül, és megjeleníti a következő lépést, válassza a Kód nézetet, majd válassza a Tervező lehetőséget.

  16. A Részletek lapra való váltáshoz válassza a Folytatás lehetőséget.

  17. Adja meg az e-mail-címet, amelyre az értesítéseket kell küldeni.

  18. Ezen a képernyőn módosíthatja az e-mail tárgyát és a benne szereplő részleteket.

  19. Az + Új lépés gombbal további logikai lépéseket hozhat létre a folyamatban. Ebben az esetben nincs szükségünk újabb lépésre. Válassza a Mentés lehetőséget a felső menüsávon.

  20. Váltson vissza a Felhőhöz készült Defender panelre, vagy válassza a Frissítés lehetőséget az újonnan létrehozott logikai alkalmazás kiválasztásához.

  21. Válassza a VálaszToMalwareAlert (vagy bármi, amit a logikai alkalmazásnak nevezett) a Logic Apps listájából.

  22. A munkafolyamat-automatizálás létrehozásához válassza a Létrehozás lehetőséget.

Munkafolyamat-automatizálás futtatása Felhőhöz készült Microsoft Defender

A forgatókönyveket általában egy meglévő riasztással futtatná a számítási feladatvédelmi irányítópulton.

  1. Válassza a Biztonsági riasztások lehetőséget Felhőhöz készült Defender bal oldali menüpanelen.

  2. Itt kiválaszthat egy riasztást, válassza a Teljes adatok megtekintése, a Művelet végrehajtása, az Eseményindító automatikus válasz legördülő menüt, majd a Trigger logikai alkalmazás lehetőséget.

    Screenshot that shows the Trigger logic app button selected.

Ebben az esetben az Azure Sandboxban valószínűleg nem rendelkezik riasztásokkal, így nem tudja így végrehajtani a forgatókönyvet. A Logic Apps panelen azonban tesztelheti.

Munkafolyamat-automatizálás tesztelése a Logic Appsből

  1. Válassza a Kezdőlap lehetőséget a bal oldali oldalsávon. A logikai alkalmazásnak közelmúltban létrehozott erőforrásként kell megjelennie. Ha nem, próbálja meg megkeresni a felső keresősávon. Ne feledje, hogy a név VálaszToMalwareAlert.

  2. Az Áttekintés panel felső menüsávján válassza a Futtatás legördülő menüt, majd a Futtatás lehetőséget.

    Screenshot that shows the Run option in Azure Logic Apps.

  3. Az Áttekintés panel Futtatások előzményei lapján megjelenik egy új bejegyzés. Előfordulhat, hogy a képernyő tetején a Frissítés gombra kell kattintania. Ennek a kiválasztásával megjelenítheti a részletezést. Például lehatolhat a futtatás bemeneteire és kimeneteire:

Inputs

{
    "method": "post",
    "path": "/Mail",
    "host": {
        "connection": {
            "name": "/subscriptions/abcd/resourceGroups/abcd/providers/Microsoft.Web/connections/office365"
        }
    },
    "body": {
        "Body": "Microsoft Defender for Cloud has discovered a potential security threat in your environment. Details below:\n\nAlert name: \n\nDescription: \n\nDetection time: \n\nAttacked resource: \n\nDetected by: \n\nAlert ID: ",
        "Importance": "High",
        "Subject": "Microsoft Defender for Cloud has discovered a potential security threat in your environment",
        "To": "john@doe.com"
    }
}

Outputs

{
    "statusCode": 200,
    "headers": {
        "Pragma": "no-cache",
        "x-ms-request-id": "615f4430-7433-4fd3-aa2d-000e8a1a0db9",
        "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
        "X-Content-Type-Options": "nosniff",
        "X-Frame-Options": "DENY",
        "Timing-Allow-Origin": "*",
        "x-ms-apihub-cached-response": "true",
        "Cache-Control": "no-store, no-cache",
        "Date": "Fri, 10 Oct 2019 09:17:32 GMT",
        "Set-Cookie": "ARRAffinity=9c9c847b5bd6c73a56d4f1afae4aecaa7f5b746d703be6c728afc87b6c50d7e3;Path=/;HttpOnly;Domain=office365-wus.azconn-wus.p.azurewebsites.net",
        "Content-Length": "0",
        "Expires": "-1"
    }
}

A megadott e-mail-címre is kapnia kell egy e-mailt, amely szerint Felhőhöz készült Microsoft Defender potenciális biztonsági fenyegetést észlelt a környezetben.

Gratulálunk! Sikeresen konfigurált egy munkafolyamat-automatizálást.