Automatisera åtgärdssvar

Varje säkerhetsprogram innehåller flera arbetsflöden för incidenthantering. De här processerna kan omfatta att meddela relevanta intressenter, starta en process för förändringshantering och tillämpa vissa reparationssteg. Säkerhetsexperter rekommenderar att du automatiserar så många steg som möjligt i dessa procedurer. Automation minskar kostnaderna. Det kan också förbättra din säkerhet genom att se till att processstegen utförs snabbt, konsekvent och enligt dina fördefinierade krav.

I den här artikeln beskrivs funktionen för arbetsflödesautomatisering i Microsoft Defender för molnet. Den här funktionen kan utlösa förbrukningslogikappar för säkerhetsaviseringar, rekommendationer och ändringar i regelefterlevnad. Du kanske till exempel vill att Defender för molnet ska skicka e-post till en viss användare när en avisering inträffar. Du får också lära dig hur du skapar logikappar med hjälp av Azure Logic Apps.

Förutsättningar

Innan du börjar:

  • Du behöver rollen Säkerhetsadministratör eller Ägare i resursgruppen.

  • Du måste också ha skrivbehörighet för målresursen.

  • Om du vill arbeta med Azure Logic Apps-arbetsflöden måste du också ha följande Logic Apps-roller/-behörigheter:

  • Om du vill använda Logic Apps-anslutningsappar kan du behöva andra autentiseringsuppgifter för att logga in på deras respektive tjänster (till exempel dina Outlook/Teams/Slack-instanser).

Skapa en logikapp och definiera när den ska köras automatiskt

Följ de här stegen:

  1. Välj Arbetsflödesautomatisering i Sidofältet i Defender för molnet.

    Skärmbild av sidan för arbetsflödesautomatisering som visar listan över definierade automatiseringar.

  2. På den här sidan skapar du nya automatiseringsregler, aktiverar, inaktiverar eller tar bort befintliga. Ett omfång refererar till prenumerationen där arbetsflödesautomation distribueras.

  3. Om du vill definiera ett nytt arbetsflöde väljer du Lägg till arbetsflödesautomation. Alternativfönstret för den nya automatiseringen öppnas.

    Fönstret Lägg till arbetsflödesautomatiseringar.

  4. Ange följande:

    • Ett namn och en beskrivning för automatiseringen.

    • Utlösare som initierar det här automatiska arbetsflödet. Du kanske till exempel vill att logikappen ska köras när en säkerhetsavisering som innehåller "SQL" genereras.

      Om utlösaren är en rekommendation som har "underrekommendationer", till exempel sårbarhetsbedömningsresultat på dina SQL-databaser, utlöses inte logikappen för varje ny säkerhetssökning, bara när statusen för den överordnade rekommendationen ändras.

  5. Ange den förbrukningslogikapp som ska köras när dina utlösarvillkor uppfylls.

  6. I avsnittet Åtgärder väljer du gå till sidan Logic Apps för att börja skapa logikappen.

    Skärmbild som visar åtgärdsavsnittet på sidan för att lägga till arbetsflödesautomatisering och länken för att besöka Azure Logic Apps.

    Du kommer till Azure Logic Apps.

  7. Välj (+) Lägg till.

    Skärmbild av var du skapar en logikapp.

  8. Fyll i alla obligatoriska fält och välj Granska + skapa.

    Meddelandet Distribution pågår visas. Vänta tills distributionen har slutförts och välj Gå till resurs i meddelandet.

  9. Granska den information du angav och välj Skapa.

    I den nya logikappen kan du välja mellan inbyggda, fördefinierade mallar från säkerhetskategorin. Eller så kan du definiera ett anpassat flöde av händelser som ska inträffa när den här processen utlöses.

    Dricks

    Ibland i en logikapp ingår parametrar i anslutningsappen som en del av en sträng och inte i det egna fältet. Ett exempel på hur du extraherar parametrar finns i steg 14 i Arbeta med logikappparametrar när du skapar microsoft Defender för molnarbetsflödesautomatiseringar.

Utlösare som stöds

Logikappdesignern stöder följande Defender for Cloud-utlösare:

  • När en Rekommendation för Microsoft Defender för molnet skapas eller utlöses – Om logikappen förlitar sig på en rekommendation som blir inaktuell eller ersatt slutar automatiseringen att fungera och du måste uppdatera utlösaren. Om du vill spåra ändringar i rekommendationer använder du viktig information.

  • När en Defender for Cloud-avisering skapas eller utlöses – Du kan anpassa utlösaren så att den endast relaterar till aviseringar med de allvarlighetsnivåer som intresserar dig.

  • När en utvärdering av regelefterlevnad i Defender för molnet skapas eller utlöses – Utlösa automatiseringar baserat på uppdateringar av utvärderingar av regelefterlevnad .

Kommentar

Om du använder den äldre utlösaren När ett svar på en Microsoft Defender för moln-avisering utlöses startas inte logikapparna av funktionen Arbetsflödesautomatisering. Använd i stället någon av de utlösare som nämns ovan.

  1. När du har definierat logikappen går du tillbaka till definitionsfönstret för arbetsflödesautomatisering ("Lägg till arbetsflödesautomatisering").

  2. Välj Uppdatera för att se till att den nya logikappen är tillgänglig för val.

  3. Välj logikappen och spara automatiseringen. Listrutan för logikappen visar endast de som har stöd för Defender for Cloud-anslutningsappar som nämns ovan.

Utlösa en logikapp manuellt

Du kan också köra logikappar manuellt när du visar säkerhetsaviseringar eller rekommendationer.

Om du vill köra en logikapp manuellt öppnar du en avisering eller en rekommendation och väljer Utlösa logikapp.

Utlös en logikapp manuellt.

Konfigurera arbetsflödesautomatisering i stor skala

Att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.

Om du vill distribuera dina automationskonfigurationer i organisationen använder du de azure-principer som anges nedan för att skapa och konfigurera procedurer för arbetsflödesautomatisering.

Kom igång med mallar för arbetsflödesautomatisering.

Så här implementerar du följande principer:

  1. I tabellen nedan väljer du den princip som du vill tillämpa:

    Goal Policy Policy-ID
    Arbetsflödesautomatisering för säkerhetsaviseringar Distribuera arbetsflödesautomation för Microsoft Defender för moln-aviseringar f1525828-9a90-4fcf-be48-268cdd02361e
    Arbetsflödesautomatisering för säkerhetsrekommendationer Distribuera arbetsflödesautomation för Microsoft Defender för moln-rekommendationer 73d6ab6c-2475-4850-afd6-43795f3492ef
    Arbetsflödesautomatisering för regelefterlevnadsändringar Distribuera arbetsflödesautomation för Microsoft Defender för molnets regelefterlevnad 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Du kan också hitta dessa genom att söka i Azure Policy. I Azure Policy väljer du Definitioner och söker efter dem efter namn.

  2. På relevant Azure Policy-sida väljer du Tilldela. Tilldela Azure Policy.

  3. På fliken Grundläggande anger du principens omfång. Om du vill använda centraliserad hantering tilldelar du principen till hanteringsgruppen som innehåller de prenumerationer som ska använda konfigurationen för arbetsflödesautomation.

  4. På fliken Parametrar anger du nödvändig information.

    Skärmbild av fliken parametrar.

  5. Du kan också tillämpa den här tilldelningen på en befintlig prenumeration på fliken Reparation och välja alternativet för att skapa en reparationsaktivitet.

  6. Granska sammanfattningssidan och välj Skapa.

    Scheman för datatyper

    Om du vill visa råhändelsescheman för säkerhetsaviseringar eller rekommendationer som skickas till logikappen går du till scheman för arbetsflödesautomatiseringsdatatyper. Detta kan vara användbart i fall där du inte använder Defender för molnets inbyggda Logic Apps-anslutningsappar som nämns ovan, utan i stället använder den allmänna HTTP-anslutningsappen . Du kan använda JSON-händelseschemat för att parsa det manuellt som du vill.