Изменить

Автоматизация ответов на исправление

  • Практическое руководство

Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут уведомлять соответствующих заинтересованных лиц, запускать операции управления изменениями и выполнять определенные действия для устранения проблем. Специалисты по безопасности рекомендуют автоматизировать максимальное количество этапов. Автоматизация сокращает затраты. Автоматизация помогает сократить издержки и повысить безопасность, так как обеспечивает быстрое и согласованное выполнение этапов процесса, причем в соответствии с заранее определенными требованиями.

В этой статье описывается функция автоматизации рабочих процессов в Microsoft Defender для облака. Эта функция может активировать приложения логики потребления для оповещений системы безопасности, рекомендаций и изменений соответствия нормативным требованиям. Например, вам может потребоваться, чтобы Defender для облака отправлял определенному пользователю сообщение электронной почты при активации оповещения. Вы также узнаете, как создавать приложения логики с помощью Azure Logic Apps.

Необходимые компоненты

Перед началом:

  • Вам нужна роль администратора безопасности или владелец группы ресурсов.

  • У вас также должны быть разрешения на запись целевого ресурса.

  • Для использования рабочих процессов Azure Logic Apps также необходимы перечисленные ниже роли и разрешения Logic Apps:

  • Если вы хотите использовать соединители Logic Apps, вам может потребоваться другие учетные данные для входа в соответствующие службы (например, экземпляры Outlook/Teams/Slack).

Создание приложения логики и определение времени его автоматического запуска

Выполните следующие действия:

  1. На боковой панели Defender для облака выберите элемент Автоматизация рабочего процесса.

    Снимок экрана: страница

  2. На этой странице создайте новые правила автоматизации, включите, отключите или удалите существующие. Область ссылается на подписку, в которой развертывается автоматизация рабочих процессов.

  3. Чтобы определить новый рабочий процесс, выберите Добавить автоматизацию рабочего процесса. Откроется область параметров для новой автоматизации.

    Добавление панели автоматизации рабочих процессов.

  4. Введите следующее:

    • Название и описание для автоматизации.

    • Триггеры, которые будут инициировать этот автоматический рабочий процесс. Например, может потребоваться, чтобы приложение логики выполнялось при создании оповещения системы безопасности, содержащего "SQL".

      Если в качестве триггера используется рекомендация с “дочерними рекомендациями”, например Результаты оценки уязвимостей в базах данных SQL должны быть исправлены, то приложение логики будет активироваться не для каждого результата оценки безопасности, а только при изменении состояния родительской рекомендации.

  5. Укажите приложение логики потребления, которое будет выполняться при выполнении условий триггера.

  6. В разделе "Действия" выберите страницу Logic Apps, чтобы начать процесс создания приложения логики.

    Снимок экрана: раздел действий на экране добавления автоматизации рабочих процессов и ссылка для посещения Azure Logic Apps.

    Вы попадете в Azure Logic Apps.

  7. Выберите (+) Добавить.

    Снимок экрана: место создания приложения логики.

  8. Заполните все обязательные поля и нажмите кнопку Просмотр и создание.

    Появится сообщение Выполняется развертывание. Дождитесь появления уведомления о завершении развертывания и выберите в нем команду Перейти к ресурсу.

  9. Проверьте указанные сведения и щелкните Создать.

    В новом приложении логики можно выбрать встроенные стандартные шаблоны из категории "безопасность". Или можно определить пользовательский поток событий, который будет происходить при активации этого процесса.

    Совет

    В приложениях логики параметры иногда включаются в соединитель как часть строки, а не как отдельное поле. Пример получения параметров представлен на этапе 14 в статье Работа с параметрами приложений логики при автоматизации рабочих процессов в Microsoft Defender для облака.

Поддерживаемые триггеры

Конструктор приложений логики поддерживает следующие триггеры Defender для облака:

  • При создании или активации рекомендации Microsoft Defender для облака. Если приложение логики использует рекомендацию, которая объявлена нерекомендуемой или заменена, то автоматизация перестанет работать и вам потребуется обновить триггер. Отслеживать изменения в рекомендациях можно с помощью заметок о выпуске.

  • При создании или активации оповещения Defender для облака можно настроить триггер таким образом, чтобы отправлялись только оповещения с интересующими вас уровнями серьезности.

  • При создании или активации оценки соответствия нормативным требованиям в Defender для облака. Автоматизация активируется при обновлении оценок соответствия нормативным требованиям.

Примечание.

Если вы используете устаревший триггер "При активации ответа на оповещение Microsoft Defender для облака", приложения логики не будут запускаться функцией автоматизации рабочих процессов. Вместо этого используется любой из перечисленных выше триггеров.

  1. Определив приложение логики, вернитесь на панель определения автоматизации рабочего процесса (Add workflow automation).

  2. Выберите "Обновить", чтобы убедиться, что новое приложение логики доступно для выбора.

  3. Выберите приложение логики и сохраните автоматизацию. В раскрывающемся списке приложения логики отображаются только те, которые поддерживают соединители Defender для облака упоминание выше.

Запуск приложения логики вручную

Вы также можете запускать приложения логики вручную при просмотре любого оповещения системы безопасности или рекомендаций.

Чтобы вручную запустить приложение логики, откройте оповещение или рекомендацию и выберите "Активировать приложение логики".

Вручную активируйте приложение логики.

Настройка автоматизации рабочих процессов в масштабе

Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.

Чтобы развернуть конфигурации автоматизации в организации, используйте описанные ниже готовые политики Azure DeployIfNotExist для создания и настройки процедур автоматизации рабочих процессов.

Начало работы с шаблонами автоматизации рабочих процессов.

Для реализации этих политик сделайте следующее:

  1. Выберите нужную политику из приведенной ниже таблицы.

    Goal Политика ИД политики
    Автоматизация рабочих процессов для оповещений системы безопасности Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака f1525828-9a90-4fcf-be48-268cdd02361e
    Автоматизация рабочих процессов для рекомендаций системы безопасности Рекомендации по развертыванию автоматизации рабочих процессов для получения рекомендаций из Microsoft Defender для облака 73d6ab6c-2475-4850-afd6-43795f3492ef
    Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям Развертывание автоматизации рабочих процессов для обеспечения соответствия требованиям из Microsoft Defender для облака 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Их также можно найти, выполнив поиск Политика Azure. В Политика Azure выберите определения и найдите их по имени.

  2. На соответствующей странице Политики Azure нажмите кнопку Назначить. Назначение Политики Azure.

  3. На вкладке Основные укажите область действия политики. Чтобы использовать централизованное управление, назначьте политику группе управления, содержащей подписки, которые будут использовать конфигурацию автоматизации рабочих процессов.

  4. На вкладке "Параметры" введите необходимые сведения.

    Снимок экрана с вкладкой

  5. При необходимости примените это назначение к существующей подписке на вкладке "Исправление " и выберите параметр для создания задачи исправления.

  6. Просмотрите страницу сводки и нажмите кнопку Создать.

    Схемы типов данных

    Чтобы просмотреть необработанные схемы событий оповещений системы безопасности или рекомендаций, передаваемых приложению логики, посетите схемы типов данных автоматизации рабочих процессов. Это может быть полезно в тех случаях, когда вы не используете встроенные соединители Logic Apps Defender для облака, упоминание выше, но вместо этого используется универсальный соединитель HTTP. Вы можете использовать схему JSON события для ручного анализа его по мере необходимости.

Связанный контент