워크플로 자동화를 사용하여 대응 자동화
특정 보안 위협에 대한 대응은 잘 알려진 경우가 많으며, 신속하게 수행할 경우 중단이나 데이터 공개를 사소한 불편으로 축소할 수 있습니다. 예를 들어 IP 범위에서 서비스 거부 공격이 탐지될 경우 일반적인 대응은 방화벽에서 해당 IP 범위를 차단하는 것일 수 있습니다.
클라우드용 Microsoft Defender는 특정 보안 경고가 탐지될 때 이러한 종류의 대응을 실행하기 위해 워크플로 자동화라는 기능을 제공합니다.
클라우드용 Microsoft Defender에서 워크플로 자동화란?
워크플로 자동화는 보안 대응팀이 클릭 한 번으로 실행할 수 있는 그룹화된 절차 컬렉션입니다. 이러한 절차는 특정 경고가 검색되면 클라우드용 Defender에서 실행됩니다. 이러한 작업은 자동으로 트리거되지 않습니다 . 실행하려면 사용자 상호 작용이 필요합니다.
워크플로 자동화는 Azure Logic Apps를 토대로 작성됩니다. 시각적 워크플로 디자이너를 사용하여 논리와 워크플로를 쉽게 사용자 지정할 수 있습니다. 기존 논리 앱으로 시작하거나 새 논리 앱을 만들 수 있습니다. 그런 다음 클라우드용 Defender 사용하여 경고가 생성될 때 트리거할 수 있습니다.
미리 작성된 몇 가지 작업은 다음과 같습니다.
- 활성 경고의 필드를 입력하여 다른 시스템에서 자동화된 인시던트 보고서 만들기
- 활성 경고에 대한 세부 정보를 포함하여 배포 목록에 메일 보내기
- Teams 또는 Slack 채널에 알림 보내기
그러나 Logic Apps는 Azure Functions 및 웹후크와 통합될 수 있으므로 가능한 작업은 무한합니다. 클라이언트가 서비스를 오용하고 클라우드용 Defender에서 경고를 생성하는 경우를 가정해 봅시다. 사용자 지정 Azure Function을 만들어 경고에서 원본 IP 주소를 가져와 방화벽에 해당 주소의 모든 인바운드 트래픽을 차단하는 규칙을 만들 수 있습니다. 이 함수를 시각적으로 표시하면 다음과 같을 수 있습니다.
