Corrigir alertas e automatizar respostas

  • 7 minutos

Na página de visão geral do Defender para Nuvem, selecione a guia Defender para Nuvem na parte superior da página ou o link na barra lateral.

Screenshot of the Defender for Cloud Alerts list page.

Na lista Alertas de segurança, selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e todos os recursos afetados.

Screenshot of the Defender for Cloud Alert Details Flyout.

Para obter mais informações, selecione Exibir detalhes completos.

O painel esquerdo da página alerta de segurança mostra informações de alto nível sobre o alerta de segurança: título, severidade, status, tempo de atividade, descrição da atividade suspeita e o recurso afetado. Junto com o recurso afetado estão as marcas do Azure relativa ao recurso. Use marcas para inferir o contexto organizacional do recurso ao investigar o alerta.

O painel direito inclui a guia Detalhes do alerta que contém mais detalhes do alerta para ajudar você a investigar o problema: endereços IP, arquivos, processos e muito mais.

Screenshot of the Defender for Cloud Alert Detail page.

Além disso, no painel direito há a guia Executa ação. Use esta guia para executar outras ações em relação ao alerta de segurança. Ações como:

  • Mitigar a ameaça – Fornece etapas de correção manual para este alerta de segurança

  • Evitar ataques futuros – Fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros

  • Disparar resposta automatizada – Fornece a opção para disparar um aplicativo lógico como uma resposta a este alerta de segurança

  • Suprimir alertas semelhantes – Fornece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização

Screenshot of the Defender for Cloud Alert Take Action tab.

Respostas automáticas

Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga. Além disso, ela pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.

Esse recurso pode disparar Aplicativos Lógicos em alertas de segurança e recomendações. Por exemplo, talvez você queira que o Defender para Nuvem envie um email a um usuário específico quando ocorrer um alerta.

Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente

Na barra lateral do Defender para Nuvem, selecione Automação de fluxo de trabalho.

Nessa página, você pode criar regras de automação e como habilitar, desabilitar ou excluir aquelas existentes.

Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho.

Um painel é exibido com as opções para sua nova automação. Aqui você pode inserir:

  • Um nome e uma descrição para a automação.

  • Os gatilhos que iniciarão esse fluxo de trabalho automático. Por exemplo, talvez você queira que seu Aplicativo Lógico seja executado quando um alerta de segurança que contenha "SQL" for gerado.

  • O Aplicativo Lógico que será executado quando suas condições de disparo forem atendidas.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Na seção ações, selecione criar um novo para iniciar o processo de criação do Aplicativo Lógico.

Você será levado para os Aplicativos Lógicos do Azure.

  • Insira um nome, grupo de recursos e local e selecione criar.

  • Em seu novo aplicativo lógico, você pode escolher entre modelos predefinidos internos da categoria segurança. Ou você pode definir um fluxo de eventos personalizado para ocorrer quando esse processo é disparado.

O designer do aplicativo lógico oferece suporte aos seguintes gatilhos do Defender para Nuvem:

  • Quando uma recomendação do Defender para Nuvem é criada ou disparada – Se o seu aplicativo lógico depender de uma recomendação que é preterida ou substituída, sua automação deixará de funcionar. Em seguida, você precisará atualizar o gatilho. Para controlar as alterações nas recomendações, confira as notas sobre a versão do Defender para Nuvem.

  • Quando um alerta do Defender para Nuvem é criado ou disparado – Você pode personalizar o gatilho para que ele se relacione apenas a alertas com os níveis de severidade que lhe interessam.

Screenshot of the Logic App U I and a sample logic app.

Depois de definir seu aplicativo lógico, retorne ao painel de definição de automação de fluxo de trabalho ("Adicionar automação de fluxo de trabalho"). Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.

Selecione seu aplicativo lógico e salve a automação. O menu suspenso do Aplicativo Lógico mostra apenas os aplicativos lógicos com suporte aos conectores do Defender para Nuvem mencionados acima.

Disparar um aplicativo lógico manualmente

Você também pode executar Aplicativos Lógicos manualmente ao exibir qualquer alerta de segurança ou recomendação.

Para executar manualmente um Aplicativo Lógico, abra um alerta ou uma recomendação e selecione Disparar Aplicativo Lógico.