Automatizar as respostas de correção

  • Como fazer

Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga. Além disso, ela pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.

Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender para Nuvem. Esse recurso pode disparar aplicativos lógicos de consumo sobre alertas de segurança, recomendações e alterações na conformidade regulatória. Por exemplo, talvez você queira que o Defender para Nuvem envie um email a um usuário específico quando ocorrer um alerta. Você também aprenderá a criar aplicativos lógicos usando os Aplicativos Lógicos do Azure.

Pré-requisitos

Antes de começar:

  • Você precisa ter a função de administrador de segurança ou proprietário no grupo de recursos.

  • Você também deve ter permissões de gravação para o recurso de destino.

  • Para trabalhar com os fluxos de trabalho dos Aplicativos Lógicos do Azure, você também deve ter as seguintes funções/permissões de Aplicativos Lógicos:

    • Permissões de Operador de Aplicativo Lógico são necessárias, ou acesso de leitura/gatilho do aplicativo lógico (essa função não pode criar ou editar aplicativos lógicos; apenas executar os existentes)
    • As permissões do Colaborador do Aplicativo Lógico são necessárias para a criação e modificação do aplicativo lógico.

  • Se quiser usar os conectores de Aplicativos Lógicos, talvez precise de outras credenciais para entrar nos respectivos serviços (por exemplo, suas instâncias do Outlook/Teams/Slack).

Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente

Siga estas etapas:

  1. Na barra lateral do Defender para Nuvem, selecione Automação de fluxo de trabalho.

    Captura de tela da página de automação do fluxo de trabalho que mostra a lista de automações definidas.

  2. Nessa página, crie novas regras de automação, habilite, desabilite ou exclua as existentes. Um escopo refere-se à assinatura em que a automação do fluxo de trabalho é implantada.

  3. Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho. O painel de opções da sua nova automação é aberto.

    Painel Adicionar automações de fluxo de trabalho.

  4. Insira o seguinte:

    • Um nome e uma descrição para a automação.

    • Os gatilhos que iniciarão esse fluxo de trabalho automático. Por exemplo, talvez você queira que seu aplicativo lógico seja executado quando um alerta de segurança que contenha "SQL" for gerado.

      Se o gatilho for uma recomendação que tenha "subrecomendações", por exemplo, as descobertas de avaliação de vulnerabilidade em seus bancos de dados SQL devem ser corrigidas, o aplicativo lógico não será disparado para cada nova descoberta de segurança; somente quando o status da recomendação pai for alterado.

  5. Especifique o aplicativo de lógica de consumo que será executado quando as condições do gatilho forem atendidas.

  6. Na seção Ações, selecione visitar a página Aplicativos Lógicos para iniciar o processo de criação do aplicativo lógico.

    Captura de tela que mostra a seção de ações da tela de adição de automação de fluxo de trabalho e o link para visitar os Aplicativos Lógicos do Azure.

    Você será levado para os Aplicativos Lógicos do Azure.

  7. Selecione (+) Adicionar.

    Captura de tela de onde criar um aplicativo lógico.

  8. Preencha todos os campos obrigatórios e selecione Examinar + Criar.

    A mensagem A implantação está em andamento aparece. Aguarde a exibição da notificação de conclusão da implantação e selecione Ir para o recurso na notificação.

  9. Examine as informações inseridas e selecione Criar.

    Em seu novo aplicativo lógico, você pode escolher entre modelos predefinidos internos da categoria segurança. Ou você pode definir um fluxo de eventos personalizado para ocorrer quando esse processo é disparado.

    Dica

    Às vezes, em um aplicativo lógico, os parâmetros são incluídos no conector como parte de uma cadeia de caracteres, e não em seu próprio campo. Para obter um exemplo de como extrair parâmetros, confira a etapa nº 14 de Trabalhando com parâmetros de aplicativo lógico ao criar automações de fluxo de trabalho do Microsoft Defender para Nuvem.

Gatilhos com suporte

O designer do aplicativo lógico oferece suporte aos seguintes gatilhos do Defender para Nuvem:

  • Quando uma recomendação do Microsoft Defender para Nuvem é criada ou disparada – se o seu aplicativo lógico depender de uma recomendação que é preterida ou substituída, sua automação deixará de funcionar e será necessário atualizar o gatilho. Para controlar as alterações nas recomendações, use as notas sobre a versão.

  • Quando um alerta do Defender para Nuvem é criado ou disparado – Você pode personalizar o gatilho para que ele se relacione apenas a alertas com os níveis de severidade que lhe interessam.

  • Quando uma avaliação de conformidade regulatória do Defender para Nuvem é criada ou aciona – Dispare automações com base em atualizações de avaliações de conformidade regulatória.

Observação

Se você estiver usando o gatilho herdado Quando uma resposta a um alerta do Microsoft Defender for Cloud for disparada, seus aplicativos lógicos não serão iniciados pelo recurso de Automação do Fluxo de Trabalho. Em vez disso, use um dos gatilhos mencionados acima.

  1. Depois de definir seu aplicativo lógico, retorne ao painel de definição de automação de fluxo de trabalho ("Adicionar automação de fluxo de trabalho").

  2. Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.

  3. Selecione seu aplicativo lógico e salve a automação. O menu suspenso do aplicativo lógico mostra apenas aqueles com suporte aos conectores do Defender para Nuvem mencionados acima.

Disparar manualmente um aplicativo lógico

Você também pode executar aplicativos lógicos manualmente ao exibir qualquer alerta de segurança ou recomendação.

Para executar manualmente um aplicativo lógico, abra um alerta ou uma recomendação e selecione Disparar aplicativo lógico.

Disparar um aplicativo lógico manualmente.

Configurar a automação do fluxo de trabalho em escala

A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.

Para implantar as configurações de automação em sua organização, use as políticas de "DeployIfNotExist" no Azure Policy fornecidas e descritas abaixo para criar e configurar os procedimentos de automação de fluxo de trabalho.

Introdução aos modelos de automação de fluxo de trabalho.

Para implementar essas políticas:

  1. Na seguinte tabela, selecione a política que você deseja aplicar:

    Goal Política ID da política
    Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas do Microsoft Defender para Nuvem f1525828-9a90-4fcf-be48-268cdd02361e
    Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações do Microsoft Defender para Nuvem 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a Automação de Fluxo de Trabalho para conformidade regulatória do Microsoft Defender para Nuvem 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Você também pode encontrá-las pesquisando no Azure Policy. No Azure Policy, selecione Definições e procure-as por nome.

  2. Na página relevante do Azure Policy, selecione Atribuir. Atribuir o Azure Policy.

  3. Na guia Noções básicas, defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao Grupo de Gerenciamento que contém as assinaturas que usarão a configuração de automação de fluxo de trabalho.

  4. Na guia Parâmetros, insira as informações necessárias.

    Captura de tela da guia Parâmetros.

  5. Opcionalmente, aplique essa atribuição a uma assinatura existente na guia Correção e selecione a opção para criar uma tarefa de correção.

  6. Examine a página de resumo e selecione Criar.

    Esquemas de tipos de dados

    Para exibir os esquemas de eventos brutos dos alertas de segurança ou eventos de recomendações passados para a instância do aplicativo lógico, visite os Esquemas de tipos de dados de automação de fluxo de trabalho. Isso pode ser útil em casos em que você não está usando os conectores do Aplicativo Lógico internos do Defender para Nuvem mencionados acima. Porém, em vez disso, está usando o conector HTTP genérico. Você pode usar o esquema JSON de evento para analisá-lo manualmente como desejar.

Conteúdo relacionado