Remediasi pemberitahuan dan mengotomatiskan respons

  • 7 menit

Dari halaman gambaran umum Defender untuk Cloud, pilih tab Defender untuk Cloud di bagian atas halaman atau tautan di bilah sisi.

Screenshot of the Defender for Cloud Alerts list page.

Dari daftar Pemberitahuan keamanan, pilih pemberitahuan. Panel samping akan terbuka dan menampilkan deskripsi pemberitahuan dan semua sumber daya yang terpengaruh.

Screenshot of the Defender for Cloud Alert Details Flyout.

Untuk informasi lebih lanjut, pilih Lihat detail selengkapnya.

Panel kiri halaman pemberitahuan keamanan memperlihatkan informasi tingkat tinggi mengenai pemberitahuan keamanan: judul, tingkat keparahan, status, waktu aktivitas, deskripsi aktivitas yang mencurigakan, dan sumber daya yang terpengaruh. Selain sumber daya yang terpengaruh adalah tag Azure yang relevan dengan sumber daya. Gunakan tag untuk menyimpulkan konteks organisasi sumber daya saat menyelidiki peringatan.

Panel kanan menyertakan tab Detail pemberitahuan yang berisi detail pemberitahuan lebih lanjut untuk membantu Anda menyelidiki masalah: alamat IP, file, proses, dan lainnya.

Screenshot of the Defender for Cloud Alert Detail page.

Juga di panel kanan adalah tab Ambil tindakan. Gunakan tab ini untuk mengambil tindakan lebih lanjut terkait peringatan keamanan. Tindakan seperti:

  • Mitigasi ancaman - memberikan langkah-langkah perbaikan manual untuk peringatan keamanan ini

  • Cegah serangan di masa depan - memberikan rekomendasi keamanan untuk membantu mengurangi permukaan serangan, meningkatkan postur keamanan, dan dengan demikian mencegah serangan di masa depan

  • Memicu respons otomatis - menyediakan opsi untuk memicu aplikasi logika sebagai respons terhadap peringatan keamanan ini

  • Menekan peringatan serupa - menyediakan opsi untuk menekan peringatan di masa mendatang dengan karakteristik serupa jika peringatan tidak relevan untuk organisasi Anda

Screenshot of the Defender for Cloud Alert Take Action tab.

Mengotomatiskan respons

Setiap program keamanan mencakup beberapa alur kerja untuk respons insiden. Proses ini mungkin termasuk memberi tahu pemangku kepentingan terkait, meluncurkan proses manajemen perubahan, dan menerapkan langkah-langkah perbaikan khusus. Pakar keamanan menyarankan agar Anda mengotomatiskan sebanyak mungkin langkah-langkah prosedur tersebut. Automasi mengurangi overhead. Ini juga dapat meningkatkan keamanan Anda dengan memastikan langkah-langkah proses dilakukan dengan cepat, konsisten, dan sesuai dengan persyaratan yang telah ditentukan.

Fitur ini dapat memicu Aplikasi Logika pada peringatan dan rekomendasi keamanan. Misalnya, Anda mungkin ingin Defender for Cloud mengirim email ke pengguna tertentu saat pemberitahuan terjadi.

Membuat aplikasi logika dan menentukan kapan aplikasi tersebut akan berjalan secara otomatis

Dari bilah sisi Defender for Cloud, pilih Otomasi alur kerja.

Dari halaman ini, Anda dapat membuat aturan otomatisasi baru serta mengaktifkan, menonaktifkan, atau menghapus aturan yang sudah ada.

Untuk menentukan alur kerja baru, pilih Tambahkan otomatisasi alur kerja.

Panel muncul dengan opsi untuk automasi baru Anda. Di sini Anda dapat memasukkan:

  • Nama dan deskripsi untuk automasi.

  • Pemicu yang akan memulai alur kerja otomatis ini. Misalnya, Anda mungkin ingin Aplikasi Logika Anda berjalan saat pemberitahuan keamanan yang berisi "SQL" dibuat.

  • Aplikasi Logika yang akan berjalan saat kondisi pemicu Anda terpenuhi.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Dari bagian Tindakan, pilih Buat yang baru untuk memulai proses pembuatan Aplikasi Logika.

Anda akan dibawa ke Azure Logic Apps.

  • Masukkan nama, grup sumber daya, dan lokasi, dan pilih Buat.

  • Di aplikasi logika baru, Anda dapat memilih dari templat bawaan yang sudah ditentukan sebelumnya dari kategori keamanan. Atau Anda dapat menentukan alur peristiwa kustom yang akan terjadi saat proses ini dipicu.

Perancang aplikasi logika mendukung pemicu Defender untuk Cloud berikut:

  • Saat Rekomendasi Defender untuk Cloud dibuat atau dipicu - Jika aplikasi logika Anda bergantung pada rekomendasi yang tidak digunakan lagi atau diganti, otomatisasi akan berhenti berfungsi. Anda kemudian perlu memperbarui pemicunya. Untuk melacak perubahan pada rekomendasi, lihat catatan rilis Defender untuk Cloud.

  • Saat Defender for Cloud Alert dibuat atau dipicu - Anda dapat menyesuaikan pemicunya sehingga hanya berkaitan dengan pemberitahuan dengan tingkat keparahan yang menarik bagi Anda.

Screenshot of the Logic App U I and a sample logic app.

Setelah Anda menentukan aplikasi logika Anda, kembali ke panel definisi automasi alur kerja ("Tambahkan automasi alur kerja"). Pilih Refresh untuk memastikan Aplikasi Logika baru Anda tersedia untuk dipilih.

Pilih aplikasi logika Anda dan simpan automasi. Dropdown Aplikasi Logika hanya menunjukkan Aplikasi Logika dengan konektor Defender untuk Cloud yang mendukung yang disebutkan di atas.

Memicu aplikasi logika secara manual

Anda juga dapat menjalankan Logic Apps secara manual saat melihat pemberitahuan atau rekomendasi keamanan apa pun.

Untuk menjalankan Aplikasi Logika secara manual, buka peringatan atau rekomendasi dan pilih Memicu Aplikasi Logika.