Automatiser les réponses de correction

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. D’une part, l’automatisation réduit votre charge de travail. D’autre part, elle contribue à renforcer votre sécurité en garantissant que les étapes des processus sont effectuées rapidement, de manière cohérente et selon vos exigences prédéfinies.

Cet article décrit la fonctionnalité d’automatisation de workflow de Microsoft Defender pour le cloud. Cette fonctionnalité peut déclencher des applications logiques de consommation en fonction d’alertes de sécurité, de recommandations et de changements de la conformité réglementaire. Par exemple, vous pouvez définir que Defender pour le cloud envoie un e-mail à un utilisateur donné quand une alerte se produit. Vous apprenez également à créer des applications logiques avec Azure Logic Apps.

Prérequis

Avant de commencer :

  • Vous avez besoin du Rôle d’administrateur de sécurité ou Propriétaire sur le groupe de ressources.

  • Vous devez également disposer d’autorisations en écriture sur la ressource cible.

  • Pour utiliser des workflows Azure Logic Apps, vous devez également disposer des autorisations/rôles Logic Apps suivants :

  • Si vous souhaitez utiliser des connecteurs Logic Apps, vous pouvez avoir besoin d’autres informations d’identification pour vous connecter à leurs services respectifs (par exemple, vos instances Outlook/Teams/Slack).

Créer une application logique et définir le moment de son exécution automatique

Effectuez les étapes suivantes :

  1. Dans la barre latérale de Defender pour le cloud, sélectionnez Automatisation du workflow.

    Capture d’écran de la page d’automatisation du flux de travail montrant la liste des automations définies.

  2. À partir de cette page, créez des règles d’automatisation, activez, désactivez ou supprimez des règles existantes. Une étendue fait référence à l’abonnement au sein duquel l’automatisation du flux de travail est déployée.

  3. Pour définir un nouveau workflow, sélectionnez Add workflow automation (Ajouter une automatisation de workflow). Le volet Options de votre nouvelle automatisation s’ouvre.

    Volet Ajouter des automatisations de workflow.

  4. Entrez les informations suivantes :

    • Le nom et la description de l’automatisation.

    • Les déclencheurs qui lanceront l’exécution de ce workflow automatique. Par exemple, vous pouvez définir que votre application logique s’exécute quand une alerte de sécurité contenant « SQL » est générée.

      Si votre déclencheur est une recommandation qui contient des « sous-recommandations », par exemple Les résultats de l’évaluation des vulnérabilités sur vos bases de données SQL doivent être corrigés, l’application logique ne se déclenchera pas pour chaque nouvelle recherche de sécurité, mais uniquement lorsque l’état de la recommandation mère change.

  5. Spécifiez l’application logique de consommation à exécuter quand vos conditions de déclenchement sont remplies.

  6. Dans la section Actions, sélectionnez Accéder à la page Logic Apps pour commencer le processus de création de l’application logique.

    Capture d’écran montrant la section Actions de l’écran Ajouter une automatisation de workflow et le lien pour accéder à Azure Logic Apps.

    Vous êtes redirigé vers le service Azure Logic Apps.

  7. Sélectionnez (+) Ajouter.

    Capture d’écran du lieu de création d’une application logique.

  8. Renseignez tous les champs obligatoires, puis sélectionnez Vérifier + Créer.

    Le message Le déploiement est en cours s’affiche. Attendez que la notification de fin de déploiement s’affiche et sélectionnez Accéder à la ressource dans la notification.

  9. Vérifiez les informations que vous avez entrées, puis sélectionnez Créer.

    Dans votre nouvelle application logique, vous pouvez choisir des modèles prédéfinis intégrés dans la catégorie Sécurité. Vous pouvez aussi définir un workflow personnalisé des événements attendus au déclenchement de ce processus.

    Conseil

    Parfois, dans une application logique, les paramètres sont inclus dans le connecteur dans le cadre d’une chaîne et non dans leur propre champ. Pour obtenir un exemple d’extraction de paramètres, consultez l’étape 14 de Utilisation des paramètres de l’application logique lors de la génération d’automatisations des workflows Microsoft Defender pour le cloud.

Déclencheurs pris en charge

Le concepteur d’applications logiques prend en charge les déclencheurs Defender pour le Cloud suivants :

  • Quand une recommandation Microsoft Defender pour le cloud est créée ou déclenchée : si votre application logique repose sur une suggestion qui est déconseillée ou remplacée, votre automatisation cesse de fonctionner et vous devez mettre à jour le déclencheur. Pour suivre les modifications apportées aux recommandations, utilisez les notes de publication.

  • Quand une alerte Defender pour le cloud est créée ou déclenchée : vous pouvez personnaliser le déclencheur pour qu’il ne concerne que les alertes dont les niveaux de gravité vous intéressent.

  • Quand une évaluation Defender pour le cloud de la conformité réglementaire est créée ou déclenchée : déclenchez des automatisations en fonction des mises à jour apportées aux évaluations de conformité réglementaire.

Remarque

Si vous utilisez le déclencheur hérité Quand une réponse à une alerte Microsoft Defender pour le cloud est déclenchée, votre application logique n’est pas lancée par la fonctionnalité Automatisation des flux de travail. À la place, utilisez l’un des déclencheurs mentionnés ci-dessus.

  1. Après avoir défini votre application logique, revenez au volet de définition de l’automatisation des workflows (« Ajouter une automatisation de workflow »).

  2. Sélectionnez Actualiser pour que votre nouvelle application logique soit disponible pour la sélection.

  3. Sélectionnez votre application logique et enregistrez l’automatisation. La liste déroulante des applications logiques affiche uniquement celles qui ont les connecteurs Defender pour le cloud pris en charge mentionnés ci-dessus.

Déclencher manuellement une application logique

Vous pouvez également exécuter des applications logiques manuellement en cas d’alerte ou de recommandation de sécurité.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis sélectionnez Déclencher l’application logique.

Déclencher manuellement une application logique.

Configurer l’automatisation des flux de travail à grande échelle

L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.

Pour déployer vos configurations d’automatisation à l’échelle de votre organisation, utilisez les stratégies Azure Policy « DeployIfdNotExist » fournies qui sont décrites ci-dessous pour créer et configurer les procédures d’automatisation des workflows.

Prise en main des modèles d’automatisation de flux de travail.

Pour implémenter ces stratégies :

  1. Dans le tableau ci-dessous, sélectionnez la stratégie que vous souhaitez appliquer :

    Objectif Stratégie ID de stratégie
    Automatisation du flux de travail pour les alertes de sécurité Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automatisation du flux de travail pour les recommandations de sécurité Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatisation des workflows pour les modifications de conformité réglementaire Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Vous pouvez également les trouver en faisant une recherche dans Azure Policy. Dans Azure Policy, sélectionnez Définitions et recherchez-les par nom.

  2. Dans la page Azure Policy appropriée, sélectionnez Attribuer. Attribution d’Azure Policy.

  3. Sous l’onglet Général, définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, attribuez la stratégie au groupe d’administration contenant les abonnements qui utiliseront la configuration de l’automatisation des workflows.

  4. Dans l’onglet Paramètres, entrez les informations nécessaires.

    Capture d’écran de l’onglet des paramètres.

  5. De manière facultative, vous pouvez appliquer cette attribution à un abonnement existant dans l’onglet Correction et sélectionner l’option permettant de créer une tâche de correction.

  6. Consultez la page de résumé et sélectionnez Créer.

    Schémas des types de données

    Pour voir les schémas d’événements bruts des alertes de sécurité ou les recommandations que les événements ont passées à l’application logique, consultez Schémas des types de données pour l’automatisation de workflow. Cela peut être utile si vous n’utilisez pas les connecteurs Logic Apps intégrés à Defender pour le cloud mentionnés ci-dessus, mais que vous utilisez le connecteur HTTP générique à la place. Vous pouvez utiliser le schéma JSON d’événement pour l’analyser manuellement comme vous le souhaitez.