Edit

Mengotomatiskan respons remediasi

  • Bagaimana

Setiap program keamanan mencakup beberapa alur kerja untuk respons insiden. Proses ini mungkin termasuk memberi tahu pemangku kepentingan terkait, meluncurkan proses manajemen perubahan, dan menerapkan langkah-langkah perbaikan khusus. Pakar keamanan menyarankan agar Anda mengotomatiskan sebanyak mungkin langkah-langkah prosedur tersebut. Automasi mengurangi overhead. Ini juga dapat meningkatkan keamanan Anda dengan memastikan langkah-langkah proses dilakukan dengan cepat, konsisten, dan sesuai dengan persyaratan yang telah ditentukan.

Artikel ini menjelaskan fitur otomatisasi alur kerja Microsoft Defender for Cloud. Fitur ini dapat memicu aplikasi logika konsumsi pada pemberitahuan keamanan, rekomendasi, dan perubahan pada kepatuhan terhadap peraturan. Misalnya, Anda mungkin ingin Defender for Cloud mengirim email ke pengguna tertentu saat pemberitahuan terjadi. Anda juga akan mempelajari cara membuat aplikasi logika menggunakan Azure Logic Apps.

Prasyarat

Sebelum memulai:

  • Anda memerlukan peran admin Keamanan atau Pemilik di grup sumber daya.

  • Anda juga harus memiliki izin tulis untuk sumber daya target.

  • Untuk bekerja dengan alur kerja Azure Logic Apps, Anda juga harus memiliki peran/izin Logic Apps berikut:

    • Izin Operator Aplikasi Logika diperlukan atau akses baca/pemicu Aplikasi Logika (peran ini tidak dapat membuat atau mengedit aplikasi logika; hanya menjalankan yang sudah ada)
    • Izin Kontributor Aplikasi Logika diperlukan untuk pembuatan dan modifikasi aplikasi logika.

  • Jika Anda ingin menggunakan konektor Logic Apps, Anda mungkin memerlukan kredensial lain untuk masuk ke layanan masing-masing (misalnya, instans Outlook/Teams/Slack Anda).

Membuat aplikasi logika dan menentukan kapan aplikasi tersebut harus berjalan secara otomatis

Ikuti langkah-langkah ini:

  1. Dari bilah sisi Defender for Cloud, pilih Otomasi alur kerja.

    Cuplikan layar halaman otomatisasi alur kerja yang memperlihatkan daftar otomatisasi yang ditentukan.

  2. Dari halaman ini, buat aturan otomatisasi baru, aktifkan, nonaktifkan, atau hapus yang sudah ada. Cakupan mengacu pada langganan tempat otomatisasi alur kerja disebarkan.

  3. Untuk menentukan alur kerja baru, pilih Tambahkan otomatisasi alur kerja. Panel opsi untuk otomatisasi baru Anda terbuka.

    Tambahkan panel automasi alur kerja.

  4. Masukkan yang berikut:

    • Nama dan deskripsi untuk automasi.

    • Pemicu yang akan memulai alur kerja otomatis ini. Misalnya, Anda mungkin ingin aplikasi logika Anda berjalan saat pemberitahuan keamanan yang berisi "SQL" dibuat.

      Jika pemicu Anda adalah rekomendasi yang memiliki "sub-rekomendasi", misalnya Temuan penilaian kerentanan pada database SQL Anda harus diperbaiki, aplikasi logika tidak akan memicu untuk setiap temuan keamanan baru; hanya ketika status rekomendasi induk berubah.

  5. Tentukan aplikasi logika konsumsi yang akan berjalan saat kondisi pemicu Anda terpenuhi.

  6. Dari bagian Tindakan, pilih kunjungi halaman Logic Apps untuk memulai proses pembuatan aplikasi logika.

    Cuplikan layar yang memperlihatkan bagian tindakan dari layar otomatisasi tambahkan alur kerja dan tautan untuk mengunjungi Azure Logic Apps.

    Anda akan dibawa ke Azure Logic Apps.

  7. Pilih (+) Tambahkan.

    Cuplikan layar tempat membuat aplikasi logika.

  8. Isi semua bidang yang diperlukan dan pilih Tinjau + Buat.

    Pesan Penyebaran sedang berlangsung muncul. Tunggu hingga pemberitahuan lengkap penyebaran muncul dan pilih Buka sumber daya dari pemberitahuan.

  9. Tinjau informasi yang Anda masukkan dan pilih Buat.

    Di aplikasi logika baru, Anda dapat memilih dari templat bawaan yang sudah ditentukan sebelumnya dari kategori keamanan. Atau Anda dapat menentukan alur peristiwa kustom yang akan terjadi saat proses ini dipicu.

    Tip

    Terkadang dalam aplikasi logika, parameter disertakan dalam konektor sebagai bagian dari string dan bukan di bidangnya sendiri. Untuk contoh cara mengekstrak parameter, lihat langkah #14 dari Bekerja dengan parameter aplikasi logika sambil membangun otomatisasi alur kerja Microsoft Defender for Cloud.

Pemicu yang didukung

Perancang aplikasi logika mendukung pemicu Defender untuk Cloud berikut:

  • Saat Microsoft Defender for Cloud Recommendation dibuat atau dipicu - Jika aplikasi logika Anda bergantung pada rekomendasi yang ditolak atau diganti, otomatisasi Anda akan berhenti berfungsi dan Anda harus memperbarui pemicunya. Untuk melacak perubahan pada rekomendasi, gunakan catatan rilis.

  • Saat Defender for Cloud Alert dibuat atau dipicu - Anda dapat menyesuaikan pemicunya sehingga hanya berkaitan dengan pemberitahuan dengan tingkat keparahan yang menarik bagi Anda.

  • Saat penilaian kepatuhan terhadap peraturan Defender for Cloud dibuat atau dipicu - Picu automasi berdasarkan pembaruan penilaian kepatuhan terhadap peraturan.

Catatan

Jika Anda menggunakan pemicu lama "Ketika respons terhadap peringatan Microsoft Defender untuk Cloud dipicu", aplikasi logika Anda tidak akan diluncurkan oleh fitur Otomatisasi Alur Kerja. Sebagai gantinya, gunakan salah satu pemicu yang disebutkan di atas.

  1. Setelah Anda menentukan aplikasi logika Anda, kembali ke panel definisi automasi alur kerja ("Tambahkan automasi alur kerja").

  2. Pilih Refresh untuk memastikan aplikasi logika baru Anda tersedia untuk dipilih.

  3. Pilih aplikasi logika Anda dan simpan automasi. Dropdown aplikasi logika hanya menunjukkan kepada mereka yang mendukung konektor Defender untuk Cloud yang disebutkan di atas.

Memicu aplikasi logika secara manual

Anda juga dapat menjalankan aplikasi logika secara manual saat melihat pemberitahuan atau rekomendasi keamanan apa pun.

Untuk menjalankan aplikasi logika secara manual, buka pemberitahuan, atau rekomendasi dan pilih Picu aplikasi logika.

Memicu aplikasi logika secara manual.

Mengonfigurasi otomatisasi alur kerja dalam skala besar

Melakukan otomatisasi proses pemantauan dan respon atas insiden organisasi Anda akan sangat meningkatkan efisiensi waktu yang diperlukan untuk menyelidiki dan mengatasi insiden keamanan.

Untuk menerapkan konfigurasi automasi di seluruh organisasi Anda, gunakan kebijakan 'DeployIfNotExist' Azure Policy yang dijelaskan di bawah ini untuk membuat dan mengonfigurasi prosedur automasi alur kerja.

Memulai templat automasi alur kerja.

Untuk menerapkan kebijakan ini:

  1. Dari tabel di bawah ini, pilih kebijakan yang ingin Anda terapkan:

    Goal Kebijakan ID Azure Policy
    Otomatisasi alur kerja untuk pemberitahuan terhadap keamanan Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Otomatisasi alur kerja untuk rekomendasi keamanan Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Otomatisasi alur kerja untuk perubahan kepatuhan terhadap peraturan Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Anda juga dapat menemukannya dengan mencari Azure Policy. Di Azure Policy, pilih Definisi dan cari berdasarkan nama.

  2. Dari halaman Azure Policy yang relevan, pilih Tetapkan. Menetapkan Azure Policy.

  3. Di tab Dasar, atur lingkup untuk kebijakan tersebut. Untuk menggunakan manajemen terpusat, tetapkan kebijakan ke Grup Manajemen yang berisi langganan yang akan menggunakan konfigurasi automasi alur kerja.

  4. Di tab Parameter , masukkan informasi yang diperlukan.

    Cuplikan layar dari tab parameter.

  5. Secara opsional terapkan penetapan ini ke langganan yang ada di tab Remediasi dan pilih opsi untuk membuat tugas remediasi.

  6. Tinjau halaman ringkasan dan pilih Buat.

    Skema tipe data

    Untuk melihat skema peristiwa mentah dari pemberitahuan keamanan atau peristiwa rekomendasi yang diteruskan ke aplikasi logika, kunjungi skema jenis data otomatisasi Alur Kerja. Ini dapat berguna dalam kasus di mana Anda tidak menggunakan konektor Logic Apps bawaan Defender untuk Cloud yang disebutkan di atas, tetapi sebaliknya menggunakan konektor HTTP generik - Anda dapat menggunakan skema JSON peristiwa untuk mengurainya secara manual sesuai keinginan Anda.

Konten terkait