Herstelreacties automatiseren

  • Artikel

Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen het melden aan relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen bevatten. Beveiligingsexperts raden u aan zo veel mogelijk stappen van deze procedures te automatiseren. Automatisering vermindert overhead. Het kan uw beveiliging ook verbeteren door ervoor te zorgen dat de processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.

In dit artikel wordt de functie voor werkstroomautomatisering van Microsoft Defender voor Cloud beschreven. Met deze functie kunnen logische apps voor verbruik worden geactiveerd voor beveiligingswaarschuwingen, aanbevelingen en wijzigingen in naleving van regelgeving. U wilt bijvoorbeeld Defender voor Cloud een specifieke gebruiker een e-mail sturen wanneer er een waarschuwing optreedt. U leert ook hoe u logische apps maakt met behulp van Azure Logic Apps.

Voordat u begint

  • U hebt de rol beveiligingsbeheerder of eigenaar nodig voor de resourcegroep.

  • U moet ook schrijfmachtigingen hebben voor de doelresource.

  • De functie werkstroomautomatisering ondersteunt werkstromen voor logische apps voor verbruik en niet voor standaardwerkstromen voor logische apps.

  • Als u wilt werken met Azure Logic Apps-werkstromen, moet u ook de volgende Logic Apps-rollen/-machtigingen hebben:

    • Logische app-operatormachtigingen zijn vereist of lees-/triggertoegang voor logische apps (deze rol kan geen logische apps maken of bewerken; alleen bestaande apps uitvoeren )
    • Inzendermachtigingen voor logische apps zijn vereist voor het maken en wijzigen van logische apps.

  • Als u Logic Apps-connectors wilt gebruiken, hebt u mogelijk andere referenties nodig om u aan te melden bij hun respectieve services (bijvoorbeeld uw Outlook/Teams/Slack-exemplaren).

Een logische app maken en definiëren wanneer deze automatisch moet worden uitgevoerd

  1. Selecteer werkstroomautomatisering in de zijbalk van Defender voor Cloud.

    Schermopname van de pagina Werkstroomautomatisering met de lijst met gedefinieerde automatiseringen.

  2. Maak op deze pagina nieuwe automatiseringsregels, schakel bestaande regels in, schakel deze uit of verwijder deze. Een bereik verwijst naar het abonnement waarin de werkstroomautomatisering wordt geïmplementeerd.

  3. Als u een nieuwe werkstroom wilt definiëren, selecteert u Werkstroomautomatisering toevoegen. Het deelvenster Opties voor uw nieuwe automatisering wordt geopend.

    Deelvenster Werkstroomautomatiseringen toevoegen.

  4. Voer het volgende in:

    • Een naam en beschrijving voor de automatisering.

    • De triggers waarmee deze automatische werkstroom wordt gestart. U wilt bijvoorbeeld dat uw logische app wordt uitgevoerd wanneer er een beveiligingswaarschuwing met SQL wordt gegenereerd.

      Als uw trigger een aanbeveling is met 'subaanbevelingen', zoals bevindingen van evaluatie van beveiligingsproblemen in uw SQL-databases, wordt de logische app niet geactiveerd voor elke nieuwe beveiligingsbevinding. Alleen wanneer de status van de bovenliggende aanbeveling verandert.

  5. Geef de logische verbruiks-app op die wordt uitgevoerd wanneer aan de triggervoorwaarden wordt voldaan.

  6. Ga in de sectie Acties naar de pagina Logic Apps om het proces voor het maken van logische apps te starten.

    Schermopname van de sectie Acties van het scherm Werkstroomautomatisering toevoegen en de koppeling voor het bezoeken van Azure Logic Apps.

    U wordt naar Azure Logic Apps gebracht.

  7. Selecteer (+) Toevoegen.

    Schermopname van waar een logische app moet worden gemaakt.

  8. Vul alle vereiste velden in en selecteer Beoordelen en maken.

    Het bericht Implementatie wordt uitgevoerd . Wacht tot de implementatie is voltooid en selecteer Ga naar de resource in de melding.

  9. Controleer de gegevens die u hebt ingevoerd en selecteer Maken.

    In uw nieuwe logische app kunt u kiezen uit ingebouwde, vooraf gedefinieerde sjablonen uit de beveiligingscategorie. U kunt ook een aangepaste stroom van gebeurtenissen definiëren die moeten worden uitgevoerd wanneer dit proces wordt geactiveerd.

    Tip

    Soms worden parameters in een logische app opgenomen in de connector als onderdeel van een tekenreeks en niet in hun eigen veld. Zie stap 14 van het werken met parameters voor logische apps tijdens het bouwen van Microsoft Defender voor Cloud werkstroomautomatiseringen voor een voorbeeld van het extraheren van parameters.

Ondersteunde triggers

De ontwerper van logische apps ondersteunt de volgende Defender voor Cloud triggers:

  • Wanneer een Microsoft Defender voor Cloud aanbeveling wordt gemaakt of geactiveerd. Als uw logische app afhankelijk is van een aanbeveling die wordt afgeschaft of vervangen, werkt uw automatisering niet meer en moet u de trigger bijwerken. Gebruik de releaseopmerkingen om wijzigingen in aanbevelingen bij te houden.

  • Wanneer een Defender voor Cloud waarschuwing wordt gemaakt of geactiveerd: u kunt de trigger aanpassen zodat deze alleen betrekking heeft op waarschuwingen met de ernstniveaus die u interesseren.

  • Wanneer een Defender voor Cloud evaluatie van naleving van regelgeving wordt gemaakt of geactiveerd: automatiseringen activeren op basis van updates voor nalevingsevaluaties voor regelgeving.

Notitie

Als u de verouderde trigger 'Wanneer een reactie op een Microsoft Defender voor Cloud waarschuwing wordt geactiveerd' gebruikt, worden uw logische apps niet gestart door de functie Workflow Automation. Gebruik in plaats daarvan een van de hierboven genoemde triggers.

  1. Nadat u uw logische app hebt gedefinieerd, gaat u terug naar het deelvenster Werkstroomautomatiseringsdefinitie ('Werkstroomautomatisering toevoegen').
  2. Selecteer Vernieuwen om ervoor te zorgen dat uw nieuwe logische app beschikbaar is voor selectie.
  3. Selecteer uw logische app en sla de automatisering op. In de vervolgkeuzelijst voor logische apps worden alleen de connectors weergegeven met ondersteuning voor Defender voor Cloud connectors die hierboven worden genoemd.

Een logische app handmatig activeren

U kunt logische apps ook handmatig uitvoeren wanneer u een beveiligingswaarschuwing of aanbeveling bekijkt.

Als u een logische app handmatig wilt uitvoeren, opent u een waarschuwing of een aanbeveling en selecteert u Logische app activeren.

Activeer handmatig een logische app.

Werkstroomautomatisering op schaal configureren

Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.

Als u uw automatiseringsconfiguraties in uw organisatie wilt implementeren, gebruikt u het geleverde Azure Policy DeployIfNotExist-beleid dat hieronder wordt beschreven om werkstroomautomatiseringsprocedures te maken en te configureren.

Aan de slag met sjablonen voor werkstroomautomatisering.

Ga als volgt te werk om dit beleid te implementeren:

  1. Selecteer in de onderstaande tabel het beleid dat u wilt toepassen:

    Goal Beleid Beleids-id
    Werkstroomautomatisering voor beveiligingswaarschuwingen Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-waarschuwingen f1525828-9a90-4fcf-be48-268cdd02361e
    Werkstroomautomatisering voor beveiligingsaanbevelingen Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-aanbevelingen 73d6ab6c-2475-4850-afd6-43795f3492ef
    Werkstroomautomatisering voor wijzigingen in naleving van regelgeving Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud naleving van regelgeving 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    U kunt deze ook vinden door te zoeken in Azure Policy. Selecteer definities in Azure Policy en zoek deze op naam.

  2. Selecteer Toewijzen op de relevante Azure Policy-pagina. Wijs het Azure Policy toe.

  3. Stel op het tabblad Basisbeginselen het bereik voor het beleid in. Als u gecentraliseerd beheer wilt gebruiken, wijst u het beleid toe aan de beheergroep met de abonnementen die gebruikmaken van de configuratie van werkstroomautomatisering.

  4. Voer op het tabblad Parameters de vereiste gegevens in.

    Schermopname van het tabblad Parameters.

  5. U kunt deze toewijzing desgewenst toepassen op een bestaand abonnement op het tabblad Herstel en de optie selecteren om een hersteltaak te maken.

  6. Controleer de overzichtspagina en selecteer Maken.

Schema's voor gegevenstypen

Als u de onbewerkte gebeurtenisschema's van de beveiligingswaarschuwingen of aanbevelingengebeurtenissen wilt bekijken die zijn doorgegeven aan de logische app, gaat u naar de schema's voor werkstroomautomatiseringsgegevenstypen. Dit kan handig zijn in gevallen waarin u de ingebouwde Logic Apps-connectors van Defender voor Cloud hierboven niet gebruikt, maar in plaats daarvan de algemene HTTP-connector gebruikt. U kunt het JSON-schema van de gebeurtenis gebruiken om het handmatig te parseren naar wens.

Volgende stappen

In dit artikel hebt u geleerd over het maken van logische apps, het automatiseren van de uitvoering ervan in Defender voor Cloud en het handmatig uitvoeren ervan. Voor meer informatie raadpleegt u de volgende documentatie: