修復応答を自動化する

開始する前に次の操作を実行してください。

• リソース グループ上でのセキュリティ管理者ロールまたは所有者が必要です。

• ターゲット リソースに対する書き込みアクセス許可も必要になります。

• Azure Logic Apps のワークフローを操作するには、次のロジック アプリのロール/アクセス許可も必要です。

  • ロジック アプリのオペレーターのアクセス許可が必要。または、ロジック アプリの読み取り/トリガーのアクセス権 (このロールでは、ロジック アプリを作成したり編集したりすることはできません。既存のものを実行するだけです)
  • ロジック アプリの共同作成者のアクセス許可は、ロジック アプリの作成と変更に必要です。

• Logic Apps コネクタを使用する場合は、それぞれのサービス (たとえば、Outlook/Teams/Slack のインスタンス) へのサインインに、その他の資格情報が必要になることがあります。

次のステップを実行します。

1. Defender for Cloud サイドバーで、 ワークフロー自動化 を選択します。

   

2. このページで、新しい自動化ルールの作成や、既存のものの有効化、無効化、または削除を実行します。 スコープは、ワークフローの自動化がデプロイされているサブスクリプションを指しています。

3. 新しいワークフローを定義するには、[ワークフロー自動化の追加] を選択します。 新しい自動化のオプション ウィンドウが開きます。

   

4. 次のように入力します。

   • 自動化の名前と説明。

   • この自動ワークフローを開始するトリガー。 たとえば、"SQL" を含むセキュリティ アラートが生成されたときにロジック アプリを実行できます。

     たとえば、SQL データベースの脆弱性評価の結果を修復する必要があることを示す "サブの推奨事項" という推奨事項がトリガーに含まれている場合は、セキュリティに関する新しい結果が得られるたびにロジック アプリがトリガーされることはありません。親の推奨事項の状態が変更された場合のみトリガーされます。

5. トリガー条件が満たされたときに実行される従量課金ロジック アプリを指定します。

6. [アクション] セクションで [Logic Apps ページにアクセス] を選び、ロジックアプリの作成プロセスを開始します。

   

   Azure Logic Apps が表示されます。

7. [(+) 追加] を選択します。

   

8. すべての必須フィールドに入力し、[確認と作成] を選択します。

   「 展開が進行 中です」というメッセージが表示されます。 デプロイの完了通知が表示されるまで待ってから、「通知から リソースへのアクセス 」 を選択します。

9. 入力した情報を確認し、[作成] を選択します。

   新しいロジック アプリでは、セキュリティ カテゴリの組み込みの定義済みテンプレートから選択できます。 または、このプロセスがトリガーされたときに発生するイベントのカスタム フローを定義することもできます。

   ヒント

   ロジック アプリでは、パラメーターは、独自のフィールドではなく、文字列の一部としてコネクタに含まれることがあります。 パラメーターを抽出する方法の例については、「 クラウドワークフロー用に Microsoft Defender を構築する自動化」の「ロジックアプリのパラメーターの使用」の手順 #14 を参照してください。

ロジック アプリ デザイナーでは、次の Defender for Cloud トリガーがサポートされています。

• Microsoft Defender For Cloud の推奨事項が作成またはトリガーされたとき：ロジックアプリが非推奨または置換された推奨事項に依存している場合は、自動化が動作を停止し、トリガーを更新する必要があります。 推奨事項の変更を追跡するには、 リリースノートを使用します。

• クラウドの Defender アラートが作成またはトリガーされたとき に、対象となる重大度レベルのアラートのみに関連するようにトリガーをカスタマイズできます。

• クラウドの規制遵守評価のための Defender が作成またはトリガーされたとき：規制遵守評価の更新に基づいて自動化をトリガーします。

1. ロジック アプリを定義したら、ワークフローの自動化の定義ウィンドウに戻ります ([ワークフロー自動化の追加])。

2. [最新の情報に更新] を選び、新しいロジック アプリが選べることを確認します。

3. ロジック アプリを選択し、自動化を保存します。 ロジック アプリのドロップダウンには、前述の Defender for Cloud コネクタをサポートするロジック アプリのみが表示されます。

セキュリティ アラートやレコメンデーションを表示しているときに、ロジック アプリを手動で実行することもできます。

ロジック アプリを手動で実行するには、アラートまたはレコメンデーションを開き、[ロジック アプリのトリガー] を選びます。

ワークフロー自動化を大規模に構成する

組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。

組織全体に自動化の構成をデプロイするには、後述の提供されている Azure Policy の "DeployIfNotExist" ポリシーを使用して、ワークフローの自動化手順を作成して構成します。

ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。

これらのポリシーを実装するには、次の手順に従います。

1. 次の表から、適用するポリシーを選択します。

   目標	ポリシー	ポリシー ID
   セキュリティ アラートのワークフローの自動化	クラウドアラート用に Microsoft Defender のワークフロー自動化を展開する	f1525828-9a90-4fcf-be48-268cdd02361e
   セキュリティに関する推奨事項のワークフローの自動化	クラウドに関する推奨事項に対する Microsoft Defender のワークフロー自動化のデプロイ	73d6ab6c-2475-4850-afd6-43795f3492ef
   規制コンプライアンスの変化に関するワークフローの自動化	クラウドの規制遵守のために Microsoft Defender のワークフロー自動化を展開する	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   これらは、Azure Policy を検索して見つけることもできます。 Azure Policy から [定義] を選択し、名前で検索します。

2. 関連する Azure Policy ページで、 [割り当てる] を選択します。

3. [基本] タブで、ポリシーのスコープを設定します。 集中管理を使用するには、ワークフローの自動化の構成を使用するサブスクリプションが含まれている管理グループにポリシーを割り当てます。

4. [パラメーター] タブで、必要な情報を入力します。

   

5. オプションとして、[修復] タブで、この割り当てを既存のサブスクリプションに適用し、修復タスクを作成するためのオプションを選択します。

6. 概要ページを確認し、 [作成] を選択します。

   データ型のスキーマ

   ロジック アプリに渡されたセキュリティアラートまたはレコメンデーション イベントの生イベント スキーマを表示するには、「ワークフロー オートメーション データ型スキーマ」をご覧ください。 これは、上記の Defender for Cloud の組み込み Logic Apps コネクタを使用せず、汎用 HTTP コネクタを使用している場合に便利です。イベントの JSON スキーマを使用して、好きなように手動で解析できます。