Automatizzare le risposte di correzione

  • Articolo

Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il carico di lavoro. Può anche migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.

Questo articolo descrive la funzionalità di automazione del flusso di lavoro di Microsoft Defender per il cloud. Questa funzionalità può attivare le app per la logica di consumo su avvisi di sicurezza, raccomandazioni e modifiche alla conformità alle normative. È ad esempio possibile fare in modo che Defender per il cloud invii un messaggio e-mail a un utente specifico quando si verifica un avviso. Si apprenderà anche come creare app per la logica usando App per la logica di Azure.

Prima di iniziare

  • È necessario il ruolo di amministratore della sicurezza o il proprietario nel gruppo di risorse.

  • È anche necessario disporre delle autorizzazioni di scrittura per la risorsa di destinazione.

  • La funzionalità di automazione del flusso di lavoro supporta i flussi di lavoro delle app per la logica di consumo e non i flussi di lavoro standard dell'app per la logica.

  • Per usare i flussi di lavoro App per la logica di Azure, è necessario disporre anche dei ruoli/autorizzazioni seguenti per App per la logica:

    • Le autorizzazioni dell'operatore dell'app per la logica sono necessarie o l'accesso in lettura/trigger dell'app per la logica (questo ruolo non può creare o modificare le app per la logica; solo quelle esistenti)
    • Le autorizzazioni di Collaboratore app per la logica sono necessarie per la creazione e la modifica dell'app per la logica.

  • Se si vogliono usare i connettori di App per la logica, potrebbero essere necessarie altre credenziali per accedere ai rispettivi servizi , ad esempio le istanze di Outlook/Teams/Slack.

Creare un'app per la logica e definire quando deve essere eseguita automaticamente

  1. Nella barra laterale di Defender per il cloud selezionare Automazione del flusso di lavoro.

    Screenshot della pagina di automazione del flusso di lavoro che mostra l'elenco delle automazione definite.

  2. In questa pagina creare nuove regole di automazione, abilitare, disabilitare o eliminare quelle esistenti. Un ambito fa riferimento alla sottoscrizione in cui viene distribuita l'automazione del flusso di lavoro.

  3. Per definire un nuovo flusso di lavoro, selezionare Aggiungi automazione del flusso di lavoro. Verrà visualizzato il riquadro delle opzioni per la nuova automazione.

    Riquadro Aggiungi automazione del flusso di lavoro.

  4. Immetti gli elementi seguenti:

    • Nome e descrizione per l'automazione.

    • Trigger che avvieranno il flusso di lavoro automatico. Ad esempio, è possibile che l'app per la logica venga eseguita quando viene generato un avviso di sicurezza che contiene "SQL".

      Se il trigger è una raccomandazione con "raccomandazioni secondarie", ad esempio i risultati della valutazione della vulnerabilità nei database SQL devono essere corretti, l'app per la logica non verrà attivata per ogni nuova ricerca della sicurezza, solo quando lo stato della raccomandazione padre cambia.

  5. Specificare l'app per la logica di consumo che verrà eseguita quando vengono soddisfatte le condizioni del trigger.

  6. Nella sezione Azioni selezionare la pagina App per la logica per avviare il processo di creazione dell'app per la logica.

    Screenshot che mostra la sezione azioni della schermata aggiungi automazione del flusso di lavoro e il collegamento per visitare App per la logica di Azure.

    Verrà visualizzato il servizio App per la logica di Azure.

  7. Selezionare (+) Aggiungi.

    Screenshot della posizione in cui creare un'app per la logica.

  8. Compilare tutti i campi obbligatori e selezionare Rivedi e crea.

    Viene visualizzato il messaggio Distribuzione in corso . Attendere che venga visualizzata la notifica di completamento della distribuzione e selezionare Vai alla risorsa dalla notifica.

  9. Esaminare le informazioni immesse e selezionare Crea.

    Nella nuova app per la logica è possibile scegliere tra i modelli predefiniti integrati della categoria Sicurezza. In alternativa, è possibile definire un flusso personalizzato di eventi che si verificano quando viene attivato il processo.

    Suggerimento

    In alcuni casi in un'app per la logica, i parametri vengono inclusi nel connettore come parte di una stringa e non nel proprio campo. Per un esempio di come estrarre i parametri, vedere il passaggio 14 dell'uso dei parametri dell'app per la logica durante la creazione di Microsoft Defender per il cloud automazione del flusso di lavoro.

Trigger supportati

La finestra di progettazione app per la logica supporta i seguenti trigger di Defender per il cloud:

  • Quando viene creata o attivata una raccomandazione di Microsoft Defender per il cloud: se l'app per la logica si basa su una raccomandazione che viene deprecata o sostituita, l'automazione smetterà di funzionare e sarà necessario aggiornare il trigger. Per tenere traccia delle modifiche alle raccomandazioni, usare le note sulla versione.

  • Quando viene creato o attivato un avviso di Defender per il cloud: è possibile personalizzare il trigger in modo che sia correlato solo agli avvisi con i livelli di gravità che interessano l'utente.

  • Quando viene creata o attivata una valutazione della conformità alle normative Defender per il cloud: attivare le automazione in base agli aggiornamenti alle valutazioni di conformità alle normative.

Nota

Se si usa il trigger legacy "Quando viene attivata una risposta a un avviso di Microsoft Defender per il cloud", le app per la logica non verranno avviate dalla funzionalità Automazione flusso di lavoro. Usare invece uno dei trigger indicati in precedenza.

  1. Dopo avere definito l'app per la logica, tornare al riquadro di definizione dell'automazione del flusso di lavoro ("Aggiungi l'automazione del flusso di lavoro").
  2. Selezionare Aggiorna per assicurarsi che la nuova app per la logica sia disponibile per la selezione.
  3. Selezionare l'app per la logica e salvare l'automazione. L'elenco a discesa dell'app per la logica mostra solo quelli che supportano i connettori Defender per il cloud indicati in precedenza.

Attivare manualmente un'app per la logica

È anche possibile eseguire manualmente le app per la logica durante la visualizzazione di qualsiasi avviso di sicurezza o raccomandazione.

Per eseguire manualmente un'app per la logica, aprire un avviso o un consiglio e selezionare Attiva app per la logica.

Attivare manualmente un'app per la logica.

Configurare l'automazione del flusso di lavoro su larga scala

L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.

Per distribuire le configurazioni di automazione nell'organizzazione, usare i criteri forniti Criteri di Azure 'DeployIfNotExist' descritti di seguito per creare e configurare le procedure di automazione del flusso di lavoro.

Introduzione ai modelli di automazione dei flussi di lavoro.

Per implementare questi criteri:

  1. Nella tabella seguente selezionare i criteri da applicare:

    Goal Criteri ID criterio
    Automazione dei flussi di lavoro per gli avvisi di sicurezza Distribuire l'automazione del flusso di lavoro per gli avvisi di Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza Distribuire l'automazione del flusso di lavoro per i consigli di Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automazione del flusso di lavoro per le modifiche alla conformità alle normative Distribuire Automazione del flusso di lavoro per la conformità alle normative Microsoft Defender per il cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    È anche possibile trovarli cercando Criteri di Azure. In Criteri di Azure selezionare Definizioni e cercarle in base al nome.

  2. Nella pagina Criteri di Azure pertinente selezionare Assegna. Assegnazione del Criteri di Azure.

  3. Nella scheda Informazioni di base impostare l'ambito per il criterio. Per usare la gestione centralizzata, assegnare i criteri al gruppo di gestione contenente le sottoscrizioni che useranno la configurazione di automazione del flusso di lavoro.

  4. Nella scheda Parametri immettere le informazioni necessarie.

    Screenshot della scheda parametri.

  5. Facoltativamente, applicare questa assegnazione a una sottoscrizione esistente nella scheda Correzione e selezionare l'opzione per creare un'attività di correzione.

  6. Esaminare la pagina di riepilogo e selezionare Crea.

Schemi dei tipi di dati

Per visualizzare gli schemi di eventi non elaborati degli avvisi di sicurezza o degli eventi consigliati passati all'app per la logica, visitare gli schemi dei tipi di dati di automazione del flusso di lavoro. Ciò può essere utile nei casi in cui non si usano i connettori predefiniti di App per la logica di Defender per il cloud indicati in precedenza, ma si usa il connettore HTTP generico. È possibile usare lo schema JSON dell'evento per analizzarlo manualmente come previsto.

Passaggi successivi

In questo articolo si è appreso come creare app per la logica, automatizzare l'esecuzione in Defender per il cloud ed eseguirle manualmente. Per altre informazioni, consultare la documentazione seguente: