Automatisieren der Reaktionen auf Security Center-Trigger

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch Automatisierung wird der Aufwand reduziert. Außerdem können Sie so die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, konsistent und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.

In diesem Artikel wird die Funktion zur Workflowautomatisierung von Azure Security Center beschrieben. Dieses Feature kann Logic Apps bei Sicherheitswarnungen, Empfehlungen und Änderungen der Einhaltung gesetzlicher Bestimmungen auslösen. Beispielsweise können Sie von Security Center E-Mail-Nachrichten an einen bestimmten Benutzer senden, wenn eine Warnung auftritt. Außerdem erfahren Sie, wie Sie Logik-Apps mithilfe von Azure Logic Apps erstellen.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Preise: Kostenlos
Erforderliche Rollen und Berechtigungen: Rolle Sicherheitsadministrator oder Besitzer für die Ressourcengruppe
Außerdem sind Schreibberechtigungen für die Zielressource erforderlich

Damit Sie Azure Logic Apps-Workflows verwenden können, benötigen Sie zudem die folgenden Logic Apps-Rollen/-Berechtigungen:
Die Berechtigungen der Rolle - Logik-App-Operator oder der Lese-/Triggerzugriff für Logik-Apps sind erforderlich. (Diese Rolle kann keine Logik-Apps erstellen oder bearbeiten, sondern nur vorhandene ausführen.)
Die Berechtigungen der Rolle - Logik-App-Mitwirkender sind für die Erstellung und Änderung von Logik-Apps erforderlich.
Wenn Sie Logik-App-Connectors verwenden möchten, benötigen Sie möglicherweise zusätzliche Anmeldeinformationen für die Anmeldung bei den jeweiligen Diensten (z. B. Ihren Instanzen von Outlook, Teams oder Slack).
Clouds: Ja Kommerzielle Clouds
Ja National/Sovereign (US Gov, China Gov, andere Gov)

Erstellen einer Logik-App und Definieren des Zeitpunkts ihrer automatischen Ausführung

  1. Wählen Sie auf der Seitenleiste in Security Center Workflowautomatisierung aus.

    Liste der Workflowautomatisierungen

    Auf dieser Seite können Sie neue Automatisierungsregeln erstellen sowie vorhandene aktivieren, deaktivieren oder löschen.

  2. Um einen neuen Workflow zu definieren, klicken Sie auf Workflowautomatisierung hinzufügen.

    Ein Bereich mit Optionen für die neue Automatisierung wird angezeigt. Darin können Sie Folgendes eingeben:

    1. Einen Namen und eine Beschreibung für die Automatisierung

    2. Die Trigger zum Auslösen dieses automatischen Workflows. Sie könnten beispielsweise Ihre Logik-App ausführen, wenn eine Sicherheitswarnung generiert wird, die „SQL“ enthält.

      Hinweis

      Wenn Ihr Trigger eine Empfehlung mit „untergeordneten Empfehlungen“ ist, z. B. Ergebnisse der Sicherheitsrisikobewertung in Ihren SQL Datenbanken müssen beseitigt werden, wird die Logik-App nicht bei jedem neuen Sicherheitsergebnis ausgelöst, sondern nur dann, wenn sich der Status der übergeordneten Empfehlung ändert.

    3. Die Logik-App, die ausgeführt wird, wenn die Triggerbedingungen erfüllt sind

      Bereich „Workflowautomatisierung hinzufügen“

  3. Klicken Sie im Abschnitt „Aktionen“ auf Erstellen Sie eine neue, um mit der Erstellung der Logik-App zu beginnen.

    Sie werden zu Azure Logic Apps umgeleitet.

    Erstellen einer neuen Logik-App

  4. Geben Sie einen Namen, eine Ressourcengruppe und einen Speicherort ein, und klicken Sie auf Erstellen.

  5. Sie können in Ihrer neuen Logik-App zwischen integrierten, vordefinierten Vorlagen der Kategorie „Sicherheit“ auswählen. Sie können aber auch einen benutzerdefinierten Ereignisflow definieren, der beim Auslösen dieses Prozesses gestartet wird.

    Tipp

    Manchmal sind in einer Logikanwendung Parameter im Connector als Teil einer Zeichenfolge und nicht in einem eigenen Feld enthalten. Ein Beispiel für das Extrahieren von Parametern finden Sie in Schritt 14 von Working with logic app parameters while building Azure Security Center workflow automations (Arbeiten mit Parametern der Logik-App beim Erstellen von Azure Security Center-Workflowautomatisierungen).

    Der Logik-App-Designer unterstützt diese Security Center-Trigger:

    • Bei Erstellen oder Auslösen einer Azure Security Center-Empfehlung: Wenn Ihre Logik-App auf einer Empfehlung basiert, die veraltet ist oder ersetzt wird, funktioniert die Automatisierung nicht mehr, und Sie müssen den Trigger aktualisieren. Informationen zum Nachverfolgen von Änderungen an Empfehlungen finden Sie unter Versionshinweise für Azure Security Center.

    • Bei Erstellen oder Auslösen einer Azure Security Center-Warnung: Sie können den Trigger so anpassen, dass er sich nur auf Warnungen mit den für sie interessanten Schweregraden bezieht.

    • Wenn eine Bewertung der Einhaltung gesetzlicher Vorschriften durch das Security Center erstellt oder ausgelöst wird – Auslösen von Automatisierungen basierend auf Aktualisierungen von Bewertungen der Einhaltung gesetzlicher Vorschriften.

    Hinweis

    Wenn Sie den älteren Trigger „Beim Auslösen einer Antwort auf eine Azure Security Center-Warnung“ verwenden, wird Ihre Logik-App nicht von der Funktion „Workflowautomatisierung“ gestartet. Verwenden Sie stattdessen einen der oben genannten Trigger.

    Beispiel-Logik-App

  6. Kehren Sie nach dem Definieren Ihrer Logik-App zum Bereich zur Definition der Workflowautomatisierung („Workflowautomatisierung hinzufügen“) zurück. Klicken Sie auf Aktualisieren, um sicherzustellen, dass Ihre neue Logik-App als Auswahl verfügbar ist.

    Aktualisieren

  7. Wählen Sie die Logik-App aus, und speichern Sie die Automatisierung. Beachten Sie, dass in der Logik-App-Dropdownliste nur Logik-Apps mit unterstützenden Security Center-Connectors angezeigt werden.

Manuelles Auslösen einer Logik-App

Sie können Logic Apps auch manuell ausführen, wenn Sie sich eine beliebige Sicherheitswarnung oder -empfehlung ansehen.

Um eine Logik-App manuell auszuführen, öffnen Sie eine Warnung oder Empfehlung, und klicken Sie auf Logik-App auslösen:

Manuelles Auslösen einer Logik-App

Konfigurieren der Workflowautomatisierung im großen Stil mithilfe der bereitgestellten Richtlinien

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.

Verwenden Sie für die Bereitstellung Ihrer Automatisierungskonfigurationen in Ihrer Organisation die unten beschriebenen von Azure Policy bereitgestellten „DeployIfNotExist“-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für die Workflowautomatisierung.

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

So implementieren Sie diese Richtlinien

  1. Klicken Sie in der folgenden Tabelle auf die Richtlinie, die Sie anwenden möchten:

    Zielsetzung Richtlinie Richtlinien-ID
    Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
    Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef
    Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Azure Security Center bereitstellen 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Tipp

    Sie können auch in Azure Policy nach diesen Richtlinien suchen:

    1. Öffnen Sie Azure Policy. Zugreifen auf Azure Policy
    2. Klicken Sie im Azure Policy-Menü auf Definitionen, und suchen Sie nach dem Namen der gewünschten Richtlinie.
  2. Klicken Sie auf der entsprechenden Azure Policy-Seite auf Zuweisen. Zuweisen der Azure-Richtlinie

  3. Öffnen Sie alle Registerkarten, und legen Sie die Parameter wie gewünscht fest:

    1. Legen Sie auf der Registerkarte Grundeinstellungen den Bereich für die Richtlinie fest. Weisen Sie die Richtlinie für eine zentrale Verwaltung der Verwaltungsgruppe mit den Abonnements zu, die die Konfiguration für die Workflowautomatisierung verwenden sollen.

    2. Legen Sie auf der Registerkarte Parameter die Ressourcengruppe und die Details für den Datentyp fest.

      Tipp

      Jeder Parameter verfügt über eine QuickInfo, in der die verfügbaren Optionen erläutert werden.

      Die Registerkarte „Parameter“ in Azure Policy (1) bietet ähnliche Konfigurationsoptionen wie die Seite „Workflowautomatisierung“ in Security Center (2). Vergleich der Parameter auf der Seite „Workflowautomatisierung“ mit Azure Policy

    3. Wenn Sie diese Zuweisung auf vorhandene Abonnements anwenden möchten, können Sie die Registerkarte Wartung öffnen und die Option zum Erstellen eines Wartungstasks auswählen.

  4. Überprüfen Sie die Seite „Zusammenfassung“, und klicken Sie auf Erstellen.

Datentypenschemas

Um die unformatierten Ereignisschemas der Sicherheitswarnungen oder Empfehlungsereignisse anzuzeigen, die an die Logik-App-Instanz übermittelt werden, sehen Sie sich die Schemas für Workflowautomatisierungs-Datentypen an. Dies kann nützlich sein, wenn Sie nicht die oben genannten integrierten Logik-App-Connectors von Security Center verwenden, sondern den generischen HTTP-Connector der Logik-App. Sie können die Analyse bei Bedarf mit dem JSON-Ereignisschema manuell durchführen.

Häufig gestellte Fragen zur Workflowautomatisierung

Unterstützt die Workflowautomatisierung irgendwelche Szenarien der Geschäftskontinuität oder Notfallwiederherstellung (BCDR)?

Wenn Sie Ihre Umgebung für BCDR-Szenarien vorbereiten, in denen in der Zielressource ein Ausfall oder ein anderer Notfass eintritt, liegt es in der Verantwortung der Organisation, durch Einrichten von Sicherungen gemäß den Richtlinien von Azure Event Hubs, Log Analytics-Arbeitsbereichen und der Logik-App Datenverluste zu verhindern.

Wir empfehlen Ihnen, für jede aktive Automatisierung eine identische (deaktivierte) Automatisierung zu erstellen und an einem anderen Ort zu speichern. Bei einem Ausfall können Sie diese Sicherungsautomatisierungen aktivieren und den normalen Betrieb aufrechterhalten.

Weitere Informationen zu Business Continuity & Disaster Recovery für Azure Logic Apps.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie Logik-Apps erstellen, deren Ausführung in Security Center automatisieren und sie manuell ausführen.

Verwandte Informationen finden Sie hier: