補救警示並將回應自動化
從適用於雲端的 Defender 概觀頁面,選取頁面頂端的 [適用於雲端的 Defender] 索引標籤或側邊欄上的連結。
在 [安全性警示] 清單選取警示。 側邊窗格開啟後,會顯示警示和所有受影響資源的描述。
如需詳細資訊,請選取 [查看完整詳細資料]。
[安全性警示] 頁面左側的窗格會顯示有關安全性警示的高階資訊:標題、嚴重性、狀態、活動時間、可疑活動的描述和受影響的資源。 受影響的資源旁是與該資源相關的 Azure 標籤。 調查警示時,請使用標籤來推斷資源的組織內容。
右側窗格的 [警示詳細資料] 索引標籤,包含警示進一步的詳細資料,協助您調查 IP 位址、檔案、流程等問題。
[採取動作] 索引標籤同樣在右側窗格。使用此索引標籤可針對安全性警示採取進一步的動作。 這些動作包括:
減輕威脅 - 提供安全性警示的手動補救步驟
預防未來的攻擊 - 提供安全性建議協助減少受攻擊面、提高安全性態勢,藉此預防未來的攻擊
觸發自動回應 - 提供回應安全性警示、觸發邏輯應用程式的選項
隱藏類似警示 - 提供以類似特性隱藏未來警示的選項,即使警示無關組織
自動回應
所有安全性程式皆包含事件回應的多個工作流程。 這些程序可能包括通知相關利害關係人、啟動變更管理流程,以及套用特定的補救步驟。 安全性專家建議盡可能多將這些程序的步驟自動化。 自動減少額外負荷。 這能透過確保流程步驟依照預先定義的要求且快速、恆定地完成,改進安全性。
此功能會觸發安全性警示和建議的邏輯應用程式。 例如,警示發生時,您可能會希望適用於雲端的 Defender 寄送電子郵件給特定使用者。
建立邏輯應用程式並定義自動執行的時機
從適用於雲端的 Defender 側邊欄中,選取 [工作流程自動化]。
在此頁面,您可建立新的自動化規則,及啟用、停用或刪除現有的規則。
若要定義新的工作流程,請選取 [新增工作流程自動化]。
窗格會顯示新的自動化選項。 您可在此輸入:
自動化的名稱和描述。
起始此自動工作流程的觸發程序。 例如,包含「SQL」的安全性警示產生時,或許您會希望執行邏輯應用程式。
符合觸發條件時,邏輯應用程式即會執行。
在 [動作] 區段,選取 [建立] 開始邏輯應用程式建立流程的新動作。
您將前往 Azure Logic Apps。
輸入名稱、資源群組和位置後,選取 [建立]。
在新的邏輯應用程式,您可透過 [安全性] 類別選擇 [內建] 和 [預先定義] 範本。 您也可定義觸發流程後,發生的自訂事件流程。
邏輯應用程式設計工具支援下列適用於雲端的 Defender 觸發程序:
建立或觸發適用於雲端的 Defender 建議時 - 如果邏輯應用程式依賴的建議已淘汰或取代,則您設定的自動化會停止運作。 請您更新觸發程序。 若要追蹤建議的變更,請參閱適用於雲端的 Defender 版本資訊。
建立或適用於雲端的 Defender 警示時 - 您可自訂觸發程序,使觸發程序僅與所需的嚴重性層級警示相關。
定義邏輯應用程式後,請返回工作流程自動化定義窗格 ([新增工作流程自動化])。 按一下 [重新整理] 確定新的邏輯應用程式可供選取。
選取邏輯應用程式,並儲存自動化。 [邏輯應用程式] 下拉式清單僅顯示支援上述適用於雲端的 Defender 連接器的邏輯應用程式。
手動觸發邏輯應用程式
檢視安全性警示或建議時,也可手動執行 Logic Apps。
若要手動執行邏輯應用程式,請開啟警示或建議,然後選取 [觸發邏輯應用程式]。