Automatisieren der Reaktionen auf Trigger von Microsoft Defender für Cloud

  • Artikel
  • 6 Minuten Lesedauer

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch Automatisierung wird der Aufwand reduziert. Außerdem können Sie so die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, konsistent und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.

In diesem Artikel wird das Feature für die Workflowautomatisierung von Microsoft Defender für Cloud beschrieben. Dieses Feature kann Logic Apps bei Sicherheitswarnungen, Empfehlungen und Änderungen der Einhaltung gesetzlicher Bestimmungen auslösen. Beispielsweise können Sie festlegen, dass von Defender für Cloud eine E-Mail an einen bestimmten Benutzer gesendet wird, wenn eine Warnung auftritt. Außerdem erfahren Sie, wie Sie Logik-Apps mithilfe von Azure Logic Apps erstellen.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Preise: Kostenlos
Erforderliche Rollen und Berechtigungen: Rolle Sicherheitsadministrator oder Besitzer für die Ressourcengruppe
Außerdem sind Schreibberechtigungen für die Zielressource erforderlich

Damit Sie Azure Logic Apps-Workflows verwenden können, benötigen Sie zudem die folgenden Logic Apps-Rollen/-Berechtigungen:
Die Berechtigungen der Rolle - Logik-App-Operator oder der Lese-/Triggerzugriff für Logik-Apps sind erforderlich. (Diese Rolle kann keine Logik-Apps erstellen oder bearbeiten, sondern nur vorhandene ausführen.)
Die Berechtigungen der Rolle - Logik-App-Mitwirkender sind für die Erstellung und Änderung von Logik-Apps erforderlich.
Wenn Sie Logik-App-Connectors verwenden möchten, benötigen Sie möglicherweise andere Anmeldeinformationen für die Anmeldung bei den jeweiligen Diensten (z. B. Ihren Instanzen von Outlook, Teams oder Slack).
Clouds: Kommerzielle Clouds
National (Azure Government, Azure China 21Vianet)

Erstellen einer Logik-App und Definieren des Zeitpunkts ihrer automatischen Ausführung

  1. Wählen Sie in der Randleiste von Defender für Cloud die Option Workflowautomatisierung aus.

    Screenshot der Seite „Workflowautomatisierung“ mit der Liste der definierten Automatisierungen.

    Auf dieser Seite können Sie neue Automatisierungsregeln erstellen sowie vorhandene aktivieren, deaktivieren oder löschen.

  2. Um einen neuen Workflow zu definieren, wählen Sie Workflowautomatisierung hinzufügen aus. Der Bereich „Optionen“ für Ihre neue Automatisierung wird geöffnet.

    Bereich „Workflowautomatisierung hinzufügen“.

    Darin können Sie Folgendes eingeben:

    1. Einen Namen und eine Beschreibung für die Automatisierung

    2. Die Trigger zum Auslösen dieses automatischen Workflows. Sie könnten beispielsweise Ihre Logik-App ausführen, wenn eine Sicherheitswarnung generiert wird, die „SQL“ enthält.

      Hinweis

      Wenn Ihr Trigger eine Empfehlung mit „untergeordneten Empfehlungen“ ist, z. B. Ergebnisse der Sicherheitsrisikobewertung in Ihren SQL Datenbanken müssen beseitigt werden, wird die Logik-App nicht bei jedem neuen Sicherheitsergebnis ausgelöst, sondern nur dann, wenn sich der Status der übergeordneten Empfehlung ändert.

    3. Die Logik-App, die ausgeführt wird, wenn die Triggerbedingungen erfüllt sind

  3. Wählen Sie im Abschnitt „Aktionen“ die Option Logic Apps-Seite besuchen aus, um mit dem Prozess für die Logik-App-Erstellung zu beginnen.

    Screenshot: Hier wird gezeigt, wo Sie im Abschnitt „Aktionen“ des Bildschirms „Workflowautomatisierung hinzufügen“ den Link „Logic Apps-Seite besuchen“ auswählen.

    Sie werden zu Azure Logic Apps umgeleitet.

  4. Wählen Sie (+) Hinzufügen aus.

    Screenshot: Bildschirm zum Erstellen einer Logik-App

  5. Füllen Sie alle erforderlichen Felder aus, und wählen Sie Überprüfen und erstellen aus.

    Die Meldung Bereitstellung wird durchgeführt wird angezeigt. Warten Sie, bis die Benachrichtigung „Bereitstellung abgeschlossen“ angezeigt wird, und wählen Sie darin Zu Ressource wechseln aus.

  6. Überprüfen Sie die eingegebenen Informationen, und wählen Sie Erstellen aus.

    Sie können in Ihrer neuen Logik-App zwischen integrierten, vordefinierten Vorlagen der Kategorie „Sicherheit“ auswählen. Sie können aber auch einen benutzerdefinierten Ereignisflow definieren, der beim Auslösen dieses Prozesses gestartet wird.

    Tipp

    Manchmal sind in einer Logikanwendung Parameter im Connector als Teil einer Zeichenfolge und nicht in einem eigenen Feld enthalten. Ein Beispiel für das Extrahieren von Parametern finden Sie in Schritt 14 unter Arbeiten mit Parametern der Logik-App beim Erstellen von Microsoft Defender für Cloud-Workflowautomatisierungen.

    Der Logik-App-Designer unterstützt die folgenden Defender für Cloud-Trigger:

    • Bei Erstellung oder Auslösung einer Microsoft Defender für Cloud-Empfehlung: Wenn Ihre Logik-App auf einer Empfehlung basiert, die veraltet ist oder ersetzt wird, funktioniert die Automatisierung nicht mehr, und Sie müssen den Trigger aktualisieren. Informationen zum Nachverfolgen der Änderungen von Empfehlungen finden Sie in den Versionshinweisen.

    • Bei Erstellung oder Auslösung einer Defender für Cloud-Warnung: Sie können den Trigger so anpassen, dass er nur für Warnungen mit den für sie interessanten Schweregraden gilt.

    • Bei Erstellung oder Auslösung einer Bewertung der Einhaltung gesetzlicher Vorschriften durch Defender für Cloud: Sie können festlegen, dass Automatisierungen basierend auf den Aktualisierungen von Bewertungen der Einhaltung gesetzlicher Vorschriften ausgelöst werden.

    Hinweis

    Wenn Sie den älteren Trigger „Beim Auslösen einer Antwort auf eine Microsoft Defender für Cloud-Warnung“ verwenden, wird Ihre Logik-App nicht von der Funktion zur Workflowautomatisierung gestartet. Verwenden Sie stattdessen einen der oben genannten Trigger.

    Beispiel-Logik-App.

  7. Kehren Sie nach dem Definieren Ihrer Logik-App zum Bereich zur Definition der Workflowautomatisierung („Workflowautomatisierung hinzufügen“) zurück. Wählen Sie Aktualisieren aus, um sicherzustellen, dass Ihre neue Logik-App ausgewählt werden kann.

    Aktualisieren

  8. Wählen Sie die Logik-App aus, und speichern Sie die Automatisierung. In der Dropdownliste „Logik-App“ werden nur Logik-Apps angezeigt, die die oben erwähnten Defender für Cloud-Connectors unterstützen.

Manuelles Auslösen einer Logik-App

Sie können Logic Apps auch manuell ausführen, wenn Sie sich eine beliebige Sicherheitswarnung oder -empfehlung ansehen.

Um eine Logik-App manuell auszuführen, öffnen Sie eine Warnung oder Empfehlung und wählen die Option Logik-App auslösen aus:

Manuelles Auslösen einer Logik-App.

Konfigurieren der Workflowautomatisierung im großen Stil mithilfe der bereitgestellten Richtlinien

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.

Verwenden Sie für die Bereitstellung Ihrer Automatisierungskonfigurationen in Ihrer Organisation die unten beschriebenen von Azure Policy bereitgestellten „DeployIfNotExist“-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für die Workflowautomatisierung.

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

So implementieren Sie diese Richtlinien

  1. Klicken Sie in der folgenden Tabelle auf die Richtlinie, die Sie anwenden möchten:

    Zielsetzung Richtlinie Richtlinien-ID
    Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
    Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef
    Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Tipp

    Sie können auch in Azure Policy nach diesen Richtlinien suchen:

    1. Öffnen Sie Azure Policy. Zugreifen auf Azure Policy.
    2. Klicken Sie im Azure Policy-Menü auf Definitionen, und suchen Sie nach dem Namen der gewünschten Richtlinie.

  2. Klicken Sie auf der entsprechenden Azure Policy-Seite auf Zuweisen. Zuweisen der Azure-Richtlinie.

  3. Öffnen Sie alle Registerkarten, und legen Sie die Parameter wie gewünscht fest:

    1. Legen Sie auf der Registerkarte Grundeinstellungen den Bereich für die Richtlinie fest. Weisen Sie die Richtlinie für eine zentrale Verwaltung der Verwaltungsgruppe mit den Abonnements zu, die die Konfiguration für die Workflowautomatisierung verwenden sollen.
    2. Geben Sie auf der Registerkarte „Parameter“ die erforderlichen Informationen ein.

    Screenshot: Registerkarte „Parameter“

    1. (Optional) Wenden Sie diese Zuweisung auf der Registerkarte Wartung auf ein vorhandenes Abonnement an, und wählen Sie die Option zum Erstellen eines Wartungstasks aus.

  4. Überprüfen Sie die Seite „Zusammenfassung“, und klicken Sie auf Erstellen.

Datentypenschemas

Um die unformatierten Ereignisschemas der Sicherheitswarnungen oder Empfehlungsereignisse anzuzeigen, die an die Logik-App-Instanz übermittelt werden, sehen Sie sich die Schemas für Workflowautomatisierungs-Datentypen an. Dies kann nützlich sein, wenn Sie nicht die oben genannten integrierten Logik-App-Connectors von Defender für Cloud, sondern den generischen HTTP-Connector der Logik-App verwenden. Sie können die Analyse hierfür bei Bedarf mit dem JSON-Ereignisschema manuell durchführen.

Häufig gestellte Fragen: Workflowautomatisierung

Unterstützt die Workflowautomatisierung irgendwelche Szenarien der Geschäftskontinuität oder Notfallwiederherstellung (BCDR)?

Wenn Sie Ihre Umgebung für BCDR-Szenarien vorbereiten, in denen in der Zielressource ein Ausfall oder ein anderer Notfass eintritt, liegt es in der Verantwortung der Organisation, durch Einrichten von Sicherungen gemäß den Richtlinien von Azure Event Hubs, Log Analytics-Arbeitsbereichen und der Logik-App Datenverluste zu verhindern.

Wir empfehlen Ihnen, für jede aktive Automatisierung eine identische (deaktivierte) Automatisierung zu erstellen und an einem anderen Ort zu speichern. Bei einem Ausfall können Sie diese Sicherungsautomatisierungen aktivieren und den normalen Betrieb aufrechterhalten.

Weitere Informationen zu Business Continuity & Disaster Recovery für Azure Logic Apps.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Logik-Apps erstellen, deren Ausführung in Defender für Cloud automatisieren und sie manuell ausführen.

Verwandte Informationen finden Sie hier: