Mengotomatiskan respons remediasi

Setiap program keamanan mencakup beberapa alur kerja untuk respons insiden. Proses ini mungkin termasuk memberi tahu pemangku kepentingan yang relevan, memulai proses manajemen perubahan, dan menerapkan langkah-langkah remediasi tertentu.

Pakar keamanan menyarankan agar Anda mengotomatiskan sebanyak mungkin langkah-langkah prosedur keamanan. Otomatisasi mengurangi biaya tambahan. Ini juga dapat meningkatkan keamanan Anda dengan memastikan langkah-langkah proses dilakukan dengan cepat, konsisten, dan sesuai dengan persyaratan yang telah ditentukan sebelumnya.

Artikel ini menjelaskan fitur otomatisasi alur kerja Microsoft Defender for Cloud. Fitur ini dapat memicu aplikasi logika konsumsi pada pemberitahuan keamanan, rekomendasi, dan perubahan pada kepatuhan terhadap peraturan. Misalnya, Anda mungkin ingin Defender for Cloud mengirim email ke pengguna tertentu saat pemberitahuan terjadi. Anda juga akan mempelajari cara membuat aplikasi logika dengan menggunakan Azure Logic Apps.

Prasyarat

Sebelum Memulai:

• Anda harus memiliki peran admin Keamanan atau Pemilik di grup sumber daya.

• Anda harus memiliki izin tulis untuk sumber daya target.

• Untuk bekerja dengan alur kerja Azure Logic Apps, Anda harus memiliki peran atau izin Logic Apps berikut:

  • Izin Operator Aplikasi Logika diperlukan atau Logic App membaca atau memicu akses. Pengguna dengan peran ini tidak dapat membuat atau mengedit aplikasi logika. Mereka hanya dapat menjalankan yang ada.
  • Izin Kontributor Aplikasi Logika diperlukan untuk pembuatan dan modifikasi aplikasi logika.

• Jika Anda ingin menggunakan konektor Logic Apps, Anda mungkin memerlukan kredensial lain untuk masuk ke layanan masing-masing (misalnya, instans Outlook, Teams, atau Slack Anda).

Membuat aplikasi logika dan menentukan kapan aplikasi tersebut harus berjalan secara otomatis

Ikuti langkah-langkah ini:

1. Pada bilah sisi Defender untuk Cloud, pilih Otomatisasi alur kerja.

   

2. Pada halaman ini, Anda dapat membuat aturan otomatisasi baru atau mengaktifkan, menonaktifkan, atau menghapus aturan yang sudah ada. Cakupan mengacu pada langganan tempat otomatisasi proses kerja diimplementasikan.

3. Untuk menentukan alur kerja baru, pilih Tambahkan otomatisasi alur kerja. Panel opsi untuk otomatisasi baru Anda terbuka.

   

4. Masukkan yang berikut ini:

   • Nama dan deskripsi untuk proses otomatisasi.
   • Pemicu yang memulai alur kerja otomatis ini. Misalnya, Anda mungkin ingin aplikasi logika Anda berjalan saat pemberitahuan keamanan menghasilkan yang berisi frasa SQL.

5. Tentukan aplikasi logika konsumsi yang akan berjalan saat kondisi pemicu Anda terpenuhi.

6. Pada bagian Tindakan , pilih kunjungi halaman Logic Apps untuk memulai proses untuk membuat aplikasi logika.

   

   Anda dibawa ke Azure Logic Apps.

7. Pilih (+) Tambahkan.

8. Isi semua bidang yang diperlukan, lalu pilih Tinjau + Buat.

   

   Pesan Penyebaran sedang berlangsung muncul. Tunggu hingga pemberitahuan Penyebaran selesai muncul, lalu pilih Buka sumber daya.

9. Tinjau informasi yang Anda masukkan, lalu pilih Buat.

   Di aplikasi logika baru, Anda dapat memilih dari templat bawaan yang telah ditentukan sebelumnya dari kategori keamanan. Atau Anda dapat menentukan alur peristiwa kustom yang terjadi saat proses ini dipicu.

   Petunjuk / Saran

   Terkadang, parameter disertakan dalam aplikasi logika di konektor sebagai bagian dari string dan bukan di bidangnya sendiri. Untuk contoh cara mengekstrak parameter, lihat langkah 14 bekerja dengan parameter aplikasi logika saat membangun otomatisasi alur kerja Pertahanan Microsoft untuk Cloud.

Pemicu yang didukung

Perancang aplikasi logika mendukung pemicu Defender for Cloud berikut:

• Saat rekomendasi Microsoft Defender for Cloud dibuat atau dipicu: Jika aplikasi logika Anda bergantung pada rekomendasi yang tidak digunakan lagi atau diganti, otomatisasi Anda berhenti berfungsi dan Anda perlu memperbarui pemicu. Untuk melacak perubahan pada rekomendasi, gunakan catatan rilis.

• Saat Pemberitahuan Defender for Cloud dibuat atau dipicu: Anda dapat menyesuaikan pemicu sehingga hanya berkaitan dengan pemberitahuan dengan tingkat keparahan yang menarik bagi Anda.

• Saat penilaian kepatuhan peraturan Defender for Cloud dibuat atau dipicu: Anda ingin memicu otomatisasi berdasarkan pembaruan penilaian kepatuhan terhadap peraturan.

Nota

Jika Anda menggunakan pemicu lama Saat respons terhadap peringatan Microsoft Defender for Cloud dipicu, fitur Automasi Alur Kerja tidak membuka aplikasi logika Anda. Sebagai gantinya, gunakan salah satu pemicu yang disebutkan sebelumnya.

1. Setelah Anda menentukan aplikasi logika, kembali ke panel Tambahkan otomatisasi alur kerja .

2. Pilih Refresh untuk memastikan aplikasi logika baru Anda tersedia untuk dipilih.

3. Pilih aplikasi logika Anda, lalu simpan otomatisasi. Menu dropdown hanya menampilkan aplikasi logika yang memiliki konektor pendukung Defender for Cloud.

Memicu aplikasi logika secara manual

Anda juga dapat menjalankan aplikasi logika secara manual saat melihat pemberitahuan atau rekomendasi keamanan apa pun.

Untuk menjalankan aplikasi logika secara manual, buka pemberitahuan atau rekomendasi, lalu pilih Picu aplikasi logika.

Mengonfigurasi otomatisasi alur kerja dalam skala besar

Saat Anda mengotomatiskan proses pemantauan dan respons insiden organisasi, waktu yang diperlukan untuk menyelidiki dan mengurangi insiden keamanan dapat sangat meningkat.

Untuk menyebarkan konfigurasi otomatisasi Anda di seluruh organisasi Anda, gunakan kebijakan Azure Policy DeployIfNotExist yang disediakan (disebutkan nanti) untuk membuat dan mengonfigurasi prosedur otomatisasi alur kerja.

Memulai templat automasi alur kerja.

Untuk menerapkan kebijakan ini:

1. Dalam tabel berikut, pilih kebijakan yang ingin Anda terapkan:

   Maksud	Policy	ID Kebijakan
   Otomatisasi alur kerja untuk pemberitahuan terhadap keamanan	Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud	f1525828-9a90-4fcf-be48-268cdd02361e
   Otomatisasi alur kerja untuk rekomendasi keamanan	Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud	73d6ab6c-2475-4850-afd6-43795f3492ef
   Otomatisasi alur kerja untuk perubahan kepatuhan terhadap peraturan	Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   Anda juga dapat menemukan kebijakan dengan mencari Azure Policy. Di Azure Policy, pilih Definisi, lalu cari berdasarkan nama.

2. Pada halaman Azure Policy yang relevan, pilih Tetapkan.

   

3. Pada tab Dasar , atur cakupan untuk kebijakan. Untuk menggunakan manajemen terpusat, tetapkan kebijakan ke Grup Manajemen yang berisi langganan yang menggunakan konfigurasi otomatisasi alur kerja.

4. Pada tab Parameter , masukkan informasi yang diperlukan.

   

5. (Opsional) Terapkan penetapan ini ke langganan yang sudah ada pada tab Remediasi , lalu pilih opsi untuk membuat tugas remediasi.

6. Tinjau halaman ringkasan, lalu pilih Buat.

Skema jenis data

Untuk melihat skema peristiwa mentah pemberitahuan keamanan atau peristiwa rekomendasi yang diteruskan ke aplikasi logika, buka skema jenis data untuk otomatisasi alur kerja. Proses ini dapat berguna jika Anda tidak menggunakan konektor Logic Apps bawaan Defender for Cloud (disebutkan sebelumnya), tetapi sebaliknya menggunakan konektor HTTP generik. Anda dapat menggunakan skema JSON peristiwa untuk mengurainya secara manual sesuai keinginan Anda.

Konten terkait

• Menggunakan otomatisasi alur kerja untuk mengotomatiskan respons keamanan
• Rekomendasi keamanan di Microsoft Defender for Cloud
• Peringatan keamanan di Microsoft Defender untuk Cloud