Korygowanie alertów i automatyzowanie odpowiedzi

  • 7 min

Na stronie przeglądu Defender dla Chmury wybierz kartę Defender dla Chmury w górnej części strony lub link na pasku bocznym.

Screenshot of the Defender for Cloud Alerts list page.

Z listy Alerty zabezpieczeń wybierz alert. Zostanie otwarte okienko boczne z opisem alertu i wszystkimi zasobami, których dotyczy problem.

Screenshot of the Defender for Cloud Alert Details Flyout.

Aby uzyskać więcej informacji, wybierz pozycję Wyświetl pełne szczegóły.

W lewym okienku strony alertu zabezpieczeń są wyświetlane ogólne informacje dotyczące alertu zabezpieczeń: tytuł, ważność, stan, czas działania, opis podejrzanej aktywności i zasób, którego dotyczy problem. Obok zasobu, którego dotyczy problem, są tagi platformy Azure związane z zasobem. Użyj tagów, aby wywnioskować kontekst organizacyjny zasobu podczas badania alertu.

W okienku po prawej stronie znajduje się karta Szczegóły alertu zawierająca dalsze szczegóły alertu, które ułatwiają badanie problemu: adresy IP, pliki, procesy i inne.

Screenshot of the Defender for Cloud Alert Detail page.

W okienku po prawej stronie znajduje się również karta Wykonaj akcję. Użyj tej karty, aby podjąć dalsze działania dotyczące alertu zabezpieczeń. Akcje, takie jak:

  • Eliminowanie zagrożenia — zawiera ręczne kroki korygowania dla tego alertu zabezpieczeń

  • Zapobieganie przyszłym atakom — udostępnia zalecenia dotyczące zabezpieczeń, które pomagają zmniejszyć obszar ataków, zwiększyć poziom zabezpieczeń, a tym samym zapobiec przyszłym atakom

  • Wyzwalanie automatycznej odpowiedzi — udostępnia opcję wyzwalania aplikacji logiki jako odpowiedzi na ten alert zabezpieczeń

  • Pomijanie podobnych alertów — zapewnia opcję pomijania przyszłych alertów o podobnych cechach, jeśli alert nie jest odpowiedni dla twojej organizacji

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatyzacja odpowiedzi

Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie właściwych uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych instrukcji rozwiązania problemu. Specjaliści ds. zabezpieczeń zalecają zautomatyzowanie jak największej liczby kroków w tych procedurach. Automatyzacja zmniejsza obciążenie. Może również zwiększyć bezpieczeństwo, zapewniając szybkie, spójne i spójne wykonanie kroków procesu zgodnie ze wstępnie zdefiniowanymi wymaganiami.

Ta funkcja może wyzwalać usługę Logic Apps w przypadku alertów zabezpieczeń i zaleceń. Możesz na przykład Defender dla Chmury wysłać wiadomość e-mail do określonego użytkownika po wystąpieniu alertu.

Tworzenie aplikacji logiki i definiowanie, kiedy ma zostać uruchomione automatycznie

Na pasku bocznym Defender dla Chmury wybierz pozycję Automatyzacja przepływu pracy.

Na tej stronie można tworzyć nowe reguły automatyzacji i włączać, wyłączać lub usuwać istniejące.

Aby zdefiniować nowy przepływ pracy, wybierz pozycję Dodaj automatyzację przepływu pracy.

Zostanie wyświetlone okienko z opcjami nowej automatyzacji. Tutaj możesz wprowadzić następujące dane:

  • Nazwa i opis automatyzacji.

  • Wyzwalacze, które zainicjują ten automatyczny przepływ pracy. Możesz na przykład chcieć uruchomić aplikację logiki, gdy zostanie wygenerowany alert zabezpieczeń zawierający ciąg "SQL".

  • Aplikacja logiki, która zostanie uruchomiona po spełnieniu warunków wyzwalacza.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

W sekcji Akcje wybierz pozycję Utwórz nowy, aby rozpocząć proces tworzenia aplikacji logiki.

Nastąpi przekierowanie do usługi Azure Logic Apps.

  • Wprowadź nazwę, grupę zasobów i lokalizację, a następnie wybierz pozycję Utwórz.

  • W nowej aplikacji logiki możesz wybrać spośród wbudowanych, wstępnie zdefiniowanych szablonów z kategorii zabezpieczeń. Możesz też zdefiniować niestandardowy przepływ zdarzeń, który ma wystąpić po wyzwoleniu tego procesu.

Projektant aplikacji logiki obsługuje następujące wyzwalacze Defender dla Chmury:

  • Po utworzeniu lub wyzwoleniu rekomendacji Defender dla Chmury — jeśli aplikacja logiki korzysta z zalecenia, które zostanie wycofane lub zastąpione, automatyzacja przestanie działać. Następnie należy zaktualizować wyzwalacz. Aby śledzić zmiany zaleceń, zobacz informacje o wersji Defender dla Chmury.

  • Po utworzeniu lub wyzwoleniu alertu Defender dla Chmury — możesz dostosować wyzwalacz tak, aby odnosił się tylko do alertów z interesującymi Cię poziomami ważności.

Screenshot of the Logic App U I and a sample logic app.

Po zdefiniowaniu aplikacji logiki wróć do okienka definicji automatyzacji przepływu pracy ("Dodaj automatyzację przepływu pracy"). Wybierz pozycję Odśwież , aby upewnić się, że nowa aplikacja logiki jest dostępna do wyboru.

Wybierz aplikację logiki i zapisz automatyzację. Lista rozwijana Aplikacja logiki zawiera tylko usługę Logic Apps z obsługą łączników Defender dla Chmury wymienionych powyżej.

Ręczne wyzwalanie aplikacji logiki

Możesz również uruchomić usługę Logic Apps ręcznie podczas wyświetlania dowolnego alertu zabezpieczeń lub zalecenia.

Aby ręcznie uruchomić aplikację logiki, otwórz alert lub zalecenie i wybierz pozycję Wyzwól aplikację logiki.