Otomatiskan respons ke pemicu Microsoft Defender for Cloud

Setiap program keamanan mencakup beberapa alur kerja untuk respons insiden. Proses ini mungkin termasuk memberi tahu pemangku kepentingan terkait, meluncurkan proses manajemen perubahan, dan menerapkan langkah-langkah perbaikan khusus. Pakar keamanan menyarankan agar Anda mengotomatiskan sebanyak mungkin langkah-langkah prosedur tersebut. Automasi mengurangi overhead. Ini juga dapat meningkatkan keamanan Anda dengan memastikan langkah-langkah proses dilakukan dengan cepat, konsisten, dan sesuai dengan persyaratan yang telah ditentukan.

Artikel ini menjelaskan fitur otomatisasi alur kerja Microsoft Defender for Cloud. Fitur ini dapat memicu Logic Apps pada pemberitahuan keamanan, rekomendasi, dan perubahan kepatuhan terhadap peraturan. Misalnya, Anda mungkin ingin Defender for Cloud mengirim email ke pengguna tertentu saat pemberitahuan terjadi. Anda juga akan mempelajari cara membuat Logic Apps menggunakan Azure Logic Apps.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Gratis
Peran dan izin akses yang diperlukan: Peran admin keamanan atau Pemilik pada grup sumber daya
Harus juga memiliki izin tertulis untuk sumber daya target

Untuk bekerja dengan alur kerja Azure Logic Apps, Anda juga harus memiliki peran/izin Logic Apps berikut:
Izin - Operator Aplikasi Logika diperlukan atau akses baca/pemicu Aplikasi Logika (peran ini tidak dapat membuat atau mengedit aplikasi logika; hanya menjalankan yang sudah ada)
Izin - Kontributor Aplikasi Logika diperlukan untuk pembuatan dan modifikasi Aplikasi Logika
Jika Anda ingin menggunakan konektor Aplikasi Logika, Anda mungkin memerlukan mandat lain untuk masuk ke layanan masing-masing (misalnya, instans Outlook/Teams/Slack Anda)
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok)

Membuat aplikasi logika dan menentukan kapan aplikasi tersebut akan berjalan secara otomatis

  1. Dari bilah sisi Defender for Cloud, pilih Otomasi alur kerja.

    Cuplikan layar halaman otomatisasi alur kerja yang memperlihatkan daftar otomatisasi yang ditentukan.

    Dari halaman ini Anda dapat membuat aturan otomatisasi baru, mengaktifkan, menonaktifkan, atau menghapus yang sudah ada.

  2. Untuk menentukan alur kerja baru, pilih Tambahkan otomatisasi alur kerja. Panel opsi untuk otomatisasi baru Anda terbuka.

    Tambahkan panel automasi alur kerja.

    Di sini Anda dapat memasukkan:

    1. Nama dan deskripsi untuk automasi.

    2. Pemicu yang akan memulai alur kerja otomatis ini. Misalnya, Anda mungkin ingin Aplikasi Logika Anda berjalan saat pemberitahuan keamanan yang berisi "SQL" dibuat.

      Catatan

      Jika pemicu Anda adalah rekomendasi yang memiliki "sub-rekomendasi", misalnya Temuan penilaian kerentanan pada database SQL Anda harus diperbaiki, aplikasi logika tidak akan memicu untuk setiap temuan keamanan baru; hanya ketika status rekomendasi induk berubah.

    3. Aplikasi Logika yang akan berjalan saat kondisi pemicu Anda terpenuhi.

  3. Dari bagian Tindakan, pilih kunjungi laman Logic Apps untuk memulai proses pembuatan Logic App.

    Cuplikan layar yang menunjukkan di mana pada layar Anda perlu memilih kunjungi halaman aplikasi logika di bagian tindakan dari layar tambahkan otomatisasi alur kerja.

    Anda akan dibawa ke Azure Logic Apps.

  4. Pilih (+) Tambahkan.

    Tangkapan layar dari membuat layar aplikasi logika.

  5. Isi semua bidang yang diperlukan dan pilih Tinjau + Buat.

    Pesan Penyebaran sedang berlangsung muncul. Tunggu hingga pemberitahuan lengkap penyebaran muncul dan pilih Buka sumber daya dari pemberitahuan.

  6. Tinjau informasi yang Anda masukkan dan pilih Buat.

    Di aplikasi logika baru, Anda dapat memilih dari templat bawaan yang sudah ditentukan sebelumnya dari kategori keamanan. Atau Anda dapat menentukan alur peristiwa kustom yang akan terjadi saat proses ini dipicu.

    Tip

    Terkadang dalam aplikasi logika, parameter disertakan dalam konektor sebagai bagian dari string dan bukan di bidangnya sendiri. Untuk contoh cara mengekstrak parameter, lihat langkah #14 dari Bekerja dengan parameter aplikasi logika sambil membangun otomatisasi alur kerja Microsoft Defender for Cloud.

    Perancang aplikasi logika mendukung pemicu Defender untuk Cloud berikut:

    • Saat Microsoft Defender for Cloud Recommendation dibuat atau dipicu - Jika aplikasi logika Anda bergantung pada rekomendasi yang ditolak atau diganti, otomatisasi Anda akan berhenti berfungsi dan Anda harus memperbarui pemicunya. Untuk melacak perubahan pada rekomendasi, gunakan catatan rilis.

    • Saat Defender for Cloud Alert dibuat atau dipicu - Anda dapat menyesuaikan pemicunya sehingga hanya berkaitan dengan pemberitahuan dengan tingkat keparahan yang menarik bagi Anda.

    • Saat penilaian kepatuhan terhadap peraturan Defender for Cloud dibuat atau dipicu - Picu automasi berdasarkan pembaruan penilaian kepatuhan terhadap peraturan.

    Catatan

    Jika Anda menggunakan pemicu lama "Ketika respons terhadap peringatan Microsoft Defender untuk Cloud dipicu", aplikasi logika Anda tidak akan diluncurkan oleh fitur Otomatisasi Alur Kerja. Sebagai gantinya, gunakan salah satu pemicu yang disebutkan di atas.

    Aplikasi logika sampel.

  7. Setelah Anda menentukan aplikasi logika Anda, kembali ke panel definisi automasi alur kerja ("Tambahkan automasi alur kerja"). Pilih Refresh untuk memastikan Aplikasi Logika baru Anda tersedia untuk dipilih.

    Refresh.

  8. Pilih aplikasi logika Anda dan simpan automasi. Dropdown Aplikasi Logika hanya menunjukkan Aplikasi Logika dengan konektor Defender untuk Cloud yang mendukung yang disebutkan di atas.

Memicu Azure Logic Apps secara manual

Anda juga dapat menjalankan Logic Apps secara manual saat melihat pemberitahuan atau rekomendasi keamanan apa pun.

Untuk menjalankan Aplikasi Logika secara manual, buka peringatan atau rekomendasi dan pilih Aplikasi Pemicu Logika:

Secara manual memicu Aplikasi Logika.

Mengonfigurasi automasi alur kerja dalam skala besar menggunakan kebijakan yang disediakan

Melakukan otomatisasi proses pemantauan dan respon atas insiden organisasi Anda akan sangat meningkatkan efisiensi waktu yang diperlukan untuk menyelidiki dan mengatasi insiden keamanan.

Untuk menerapkan konfigurasi automasi di seluruh organisasi Anda, gunakan kebijakan 'DeployIfNotExist' Azure Policy yang dijelaskan di bawah ini untuk membuat dan mengonfigurasi prosedur automasi alur kerja.

Memulai templat automasi alur kerja.

Untuk menerapkan kebijakan ini:

  1. Dari tabel di bawah ini, pilih kebijakan yang ingin Anda terapkan:

    Tujuan Kebijakan ID Azure Policy
    Otomatisasi alur kerja untuk peringatan terhadap keamanan Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Otomatisasi alur kerja untuk rekomendasi keamanan Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Otomatisasi alur kerja untuk perubahan kepatuhan terhadap peraturan Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Catatan

    Tiga kebijakan otomatisasi alur kerja baru-baru ini telah diubah namanya. Sayangnya, perubahan ini diikuti dengan perubahan yang dapat menimbulkan pelanggaran. Untuk mempelajari cara mengurangi perubahan yang dapat menimbulkan pelanggaran ini, lihat mengurangi perubahan yang dapat menimbulkan pelanggaran,

    Tip

    Anda juga dapat menemukan ini dengan mencari Azure Policy:

    1. Buka Azure Policy. Mengakses Azure Policy.
    2. Dari menu Azure Policy, pilih Definisi dan cari berdasarkan nama.
  2. Dari halaman Azure Policy yang relevan, pilih Tetapkan. Menetapkan Azure Policy.

  3. Buka setiap tab dan atur parameter sesuai keinginan:

    1. Di tab Dasar, atur lingkup untuk kebijakan tersebut. Untuk menggunakan manajemen terpusat, tetapkan kebijakan ke Grup Manajemen yang berisi langganan yang akan menggunakan konfigurasi automasi alur kerja.
    2. Di tab Parameter, masukkan informasi yang diperlukan.

    Cuplikan layar dari tab parameter.

    1. (Opsional), Terapkan tugas ini ke langganan yang ada di tab Perbaikan dan pilih opsi untuk membuat tugas perbaikan.
  4. Tinjau halaman ringkasan dan pilih Buat.

Skema tipe data

Untuk melihat skema kejadian mentah pemberitahuan keamanan atau peristiwa rekomendasi yang diteruskan ke instans Aplikasi Logika, kunjungi skema tipe data automasi alur kerja. Ini dapat berguna dalam kasus saat Anda tidak menggunakan konektor Aplikasi Logika bawaan Defender untuk Cloud yang disebutkan di atas, tetapi sebaliknya menggunakan konektor HTTP generik Aplikasi Logika - Anda dapat menggunakan skema JSON peristiwa untuk mengurainya secara manual sesuai keinginan Anda.

Tanya Jawab Umum - Automasi Alur Kerja

Apakah automasi alur kerja mendukung skenario kelangsungan bisnis atau pemulihan bencana (BCDR)?

Saat mempersiapkan lingkungan Anda untuk skenario BCDR, di mana sumber daya target mengalami penghentian atau bencana lainnya, organisasi ini bertanggung jawab untuk mencegah kehilangan data dengan membuat cadangan sesuai dengan pedoman dari Azure Event Hubs, ruang kerja Log Analytics, dan Aplikasi Logika.

Untuk setiap automasi aktif, kami sarankan Anda membuat automasi identik (dinonaktifkan) dan menyimpannya di lokasi yang berbeda. Ketika ada pemadaman, Anda dapat mengaktifkan automasi cadangan ini dan mempertahankan operasi normal.

Pelajari selengkapnya tentang Kelangsungan bisnis dan pemulihan bencana untuk Azure Logic Apps.

Memitigasi perubahan yang dapat menimbulkan pelanggaran

Baru-baru ini kami telah mengganti nama rekomendasi berikut:

Sayangnya, perubahan ini datang dengan perubahan yang dapat menimbulkan pelanggaran. Perubahan yang dapat menimbulkan pelanggaran menyebabkan semua kebijakan otomatisasi alur kerja lama yang menggunakan konektor bawaan menjadi tidak patuh.

Untuk memitigasi masalah ini:

  1. Navigasi ke aplikasi logika yang tersambung ke kebijakan.

  2. Pilih Perancang Aplikasi Logic.

  3. Pilih tiga titik>Ganti nama.

  4. Ganti nama konektor Defender untuk cloud sebagai berikut:

    Nama asli Nama baru
    Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud Saat Microsoft Defender untuk Clou dAlert dibuat atau dipicu 1
    Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud Saat Rekomendasi Microsoft Defender untuk Cloud dibuat atau dipicu
    Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud Saat Penilaian Kepatuhan terhadap Peraturan Microsoft Defender untuk Cloud dibuat atau dipicu

    1 Kesalahan ketik Clou dAlert disengaja.

Langkah berikutnya

Dalam artikel ini, Anda belajar tentang membuat Logic Apps, mengotomatiskan eksekusinya di Defender for Cloud, dan menjalankannya secara manual.

Untuk materi terkait lihat: