Gyakorlat – Forgatókönyv konfigurálása biztonsági eseményhez
A munkafolyamat-automatizálások közvetlenül a Felhőhöz készült Defender portálon jönnek létre.
Fontos
A megadott utasítások használatához Microsoft 365-ös e-mail-fiókra lesz szüksége. Ha nincs ilyenje, módosítsa az alábbi utasításokat egy másik sablon használatára, vagy hozzon létre egy üres logikai alkalmazást.
Jelentkezzen be az Azure Portalra ugyanazzal a fiókkal, amellyel aktiválta az Azure Sandboxot.
Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender a keresőmező használatával. Megjelenik Felhőhöz készült Defender Áttekintés panelje.
A bal oldali menüpanel Felügyelet csoportjában válassza a Munkafolyamat-automatizálás lehetőséget.
A felső menüsávon válassza a + Munkafolyamat-automatizálás hozzáadása lehetőséget egy új automatizálás létrehozásához. Megjelenik a Munkafolyamat-automatizálás hozzáadása panel.
Minden beállításhoz adja meg a következő értékeket:
Setting Érték Általános Név RespondToMalwareAlert Előfizetés Concierge-előfizetés Erőforráscsoport [Learn erőforráscsoport] Aktiválási feltételek Felhőhöz készült Defender adattípusok kiválasztása Biztonsági riasztás A riasztás neve tartalmazza a következőt Kártevő A riasztás súlyossága Minden kijelölt súlyosság A Műveletek területen kiválaszthat egy meglévő Azure Logic App-alkalmazást, vagy létrehozhat egy újat. Mivel még nem rendelkezünk ilyennel, válassza a Logic Apps oldalhivatkozását egy új Logikai alkalmazás létrehozásához.
Megjelenik a Logic Apps panel. Mielőtt továbblépne, győződjön meg róla, hogy továbbra is a Microsoft Learn-tesztkörnyezet könyvtárában van.
A felső menüsávon válassza a (+ Hozzáadás) lehetőséget. Megjelenik a Logikai alkalmazás létrehozása panel.
Az Alapszintű beállítások lapon adja meg az alábbi értékeket az egyes beállításokhoz:
Setting Érték Projekt részletei Előfizetés Concierge-előfizetés Erőforráscsoport [Learn erőforráscsoport] Példány részletei Logikai alkalmazás neve RespondToMalwareAlert Konstrukció típusa Consumption Megjegyzés:
A logikai alkalmazásnak egyedi névre van szüksége. Ha a javasolt név nem érhető el, módosítsa, vagy válasszon másik nevet.
A többi mezőnél fogadja el az alapértelmezett beállításokat.
Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget. Az alkalmazás létrehozása igénybe vehet egy-két percet. A létrehozást az Értesítések ikonnal figyelheti, vagy a Képernyő frissítéséhez válassza a Frissítés lehetőséget.
A logikai alkalmazás létrehozása után válassza az Ugrás az erőforráshoz lehetőséget.
A bal oldali menüBen válassza a Logikai alkalmazás tervezőjelehetőséget a Fejlesztési eszközök területen.
Görgessen le a Sablonok szakaszhoz, és válassza a Kategória legördülő lista Biztonság elemét.
Válassza az Értesítési e-mail kérése lehetőséget, ha Felhőhöz készült Defender észlel egy fenyegetést, majd válassza a Sablon használata lehetőséget. Akkor is választhatja az Üres logikai alkalmazást , ha egyéni logikát szeretne létrehozni egy riasztásra válaszul való futtatáshoz, vagy ha nem rendelkezik Microsoft 365-alapú e-mail-fiókkal.
Válassza a Bejelentkezési hivatkozást az Office 365 Outlook párbeszédpanelen. Adja meg az Office 365 Outlook hitelesítő adatait az e-mail-fiók csatlakoztatásához. Az érvényesítés után a tulajdonos e-mail-címe megjelenik az Office 365 Outlook-összekötőben.
Válassza az Új hozzáadása lehetőséget a Csatlakozás ions mezőben. Ez összekapcsolja a logikai alkalmazást a Felhőhöz készült Microsoft Defender.
Megjegyzés:
Ha a panel nem frissül, és megjeleníti a következő lépést, válassza a Kód nézetet, majd válassza a Tervező lehetőséget.
A Részletek lapra való váltáshoz válassza a Folytatás lehetőséget.
Adja meg az e-mail-címet, amelyre az értesítéseket kell küldeni.
Ezen a képernyőn módosíthatja az e-mail tárgyát és a benne szereplő részleteket.
Az + Új lépés gombbal további logikai lépéseket hozhat létre a folyamatban. Ebben az esetben nincs szükségünk újabb lépésre. Válassza a Mentés lehetőséget a felső menüsávon.
Váltson vissza a Felhőhöz készült Defender panelre, vagy válassza a Frissítés lehetőséget az újonnan létrehozott logikai alkalmazás kiválasztásához.
Válassza a VálaszToMalwareAlert (vagy bármi, amit a logikai alkalmazásnak nevezett) a Logic Apps listájából.
A munkafolyamat-automatizálás létrehozásához válassza a Létrehozás lehetőséget.
Munkafolyamat-automatizálás futtatása Felhőhöz készült Microsoft Defender
A forgatókönyveket általában egy meglévő riasztással futtatná a számítási feladatvédelmi irányítópulton.
Válassza a Biztonsági riasztások lehetőséget Felhőhöz készült Defender bal oldali menüpanelen.
Itt kiválaszthat egy riasztást, válassza a Teljes adatok megtekintése, a Művelet végrehajtása, az Eseményindító automatikus válasz legördülő menüt, majd a Trigger logikai alkalmazás lehetőséget.
Ebben az esetben az Azure Sandboxban valószínűleg nem rendelkezik riasztásokkal, így nem tudja így végrehajtani a forgatókönyvet. A Logic Apps panelen azonban tesztelheti.
Munkafolyamat-automatizálás tesztelése a Logic Appsből
Válassza a Kezdőlap lehetőséget a bal oldali oldalsávon. A logikai alkalmazásnak közelmúltban létrehozott erőforrásként kell megjelennie. Ha nem, próbálja meg megkeresni a felső keresősávon. Ne feledje, hogy a név VálaszToMalwareAlert.
Az Áttekintés panel felső menüsávján válassza a Futtatás legördülő menüt, majd a Futtatás lehetőséget.
Az Áttekintés panel Futtatások előzményei lapján megjelenik egy új bejegyzés. Előfordulhat, hogy a képernyő tetején a Frissítés gombra kell kattintania. Ennek a kiválasztásával megjelenítheti a részletezést. Például lehatolhat a futtatás bemeneteire és kimeneteire:
Inputs
{
"method": "post",
"path": "/Mail",
"host": {
"connection": {
"name": "/subscriptions/abcd/resourceGroups/abcd/providers/Microsoft.Web/connections/office365"
}
},
"body": {
"Body": "Microsoft Defender for Cloud has discovered a potential security threat in your environment. Details below:\n\nAlert name: \n\nDescription: \n\nDetection time: \n\nAttacked resource: \n\nDetected by: \n\nAlert ID: ",
"Importance": "High",
"Subject": "Microsoft Defender for Cloud has discovered a potential security threat in your environment",
"To": "john@doe.com"
}
}
Outputs
{
"statusCode": 200,
"headers": {
"Pragma": "no-cache",
"x-ms-request-id": "615f4430-7433-4fd3-aa2d-000e8a1a0db9",
"Strict-Transport-Security": "max-age=31536000; includeSubDomains",
"X-Content-Type-Options": "nosniff",
"X-Frame-Options": "DENY",
"Timing-Allow-Origin": "*",
"x-ms-apihub-cached-response": "true",
"Cache-Control": "no-store, no-cache",
"Date": "Fri, 10 Oct 2019 09:17:32 GMT",
"Set-Cookie": "ARRAffinity=9c9c847b5bd6c73a56d4f1afae4aecaa7f5b746d703be6c728afc87b6c50d7e3;Path=/;HttpOnly;Domain=office365-wus.azconn-wus.p.azurewebsites.net",
"Content-Length": "0",
"Expires": "-1"
}
}
A megadott e-mail-címre is kapnia kell egy e-mailt, amely szerint Felhőhöz készült Microsoft Defender potenciális biztonsági fenyegetést észlelt a környezetben.
Gratulálunk! Sikeresen konfigurált egy munkafolyamat-automatizálást.