Yanıtları otomatikleştirmek için iş akışı otomasyonu kullanma
Genellikle, belirli bir güvenlik tehdidine yönelik yanıt iyi bilinir ve hızlı bir şekilde gerçekleştirilirse bir kesintiyi veya veri ifşasını küçük bir sıkıntıya indirgeyebilir. Örneğin, bir IP aralığından hizmet reddi saldırısı algılandığında verilen tipik yanıt, güvenlik duvarında bu IP aralığını engellemek olabilir.
Bulut için Microsoft Defender adlı bir özellik sağlarBelirli güvenlik uyarıları algılandığında bu tür yanıtları yürütmek için İş Akışı Otomasyonu.
Bulut için Microsoft Defender İş Akışı Otomasyonu nedir?
İş akışı otomasyonu, güvenlik yanıtı ekibinin tek bir tıklamayla yürütebileceği gruplandırılmış yordamlardan oluşan bir koleksiyondur. Bu yordamlar, belirli bir uyarı algılandığında Bulut için Defender içinde yürütülür. Bu eylemler otomatik olarak tetiklenmemiştir ; insan etkileşiminin çalıştırılmasını gerektirir.
İş akışı otomasyonları Azure Logic Apps üzerinde oluşturulur. Görsel iş akışı tasarımcısını kullanarak mantığı ve iş akışını kolayca özelleştirebilirsiniz. Mevcut bir Mantıksal Uygulama ile başlayabilir veya yeni bir Mantıksal Uygulama oluşturabilirsiniz. Daha sonra Bulut için Defender kullanarak uyarı oluşturulduğunda tetikleyebilirsiniz.
Önceden oluşturulmuş eylemlerden bazıları şunlardır:
- Etkin uyarıdaki alanları doldurarak başka bir sistemde otomatik olay raporu oluşturma
- Etkin uyarılarla ilgili ayrıntıları bir dağıtım grubuna e-posta ile gönderme
- Teams veya Slack kanalına bildirim gönderme
Ancak, Logic Apps hizmeti Azure İşlevleri ve web kancaları ile tümleştirilebildiğinden olası eylemler sınırsızdır. İstemcinin hizmetinizi yanlış yönlendirdiği ve Bulut için Defender'da bir uyarı oluşturduğu bir durum düşünün. Uyarıdan kaynak IP adresini almak için özel bir Azure İşlevi oluşturabilir ve güvenlik duvarınızda bu adresten gelen tüm trafiği engelleyecek bir kural oluşturabilirsiniz. Bu işlevin görsel gösterimi şuna benzer olabilir:
