Automatización de respuestas a desencadenadores de Microsoft Defender for Cloud

Cada programa de seguridad incluye varios flujos de trabajo para la respuesta a incidentes. Estos procesos pueden incluir notificaciones para las partes interesadas competentes, iniciar un proceso de administración de cambios y aplicar pasos de corrección específicos. Los expertos en seguridad recomiendan automatizar tantos pasos de esos procedimientos como sea posible. Recuerde que la automatización reduce la sobrecarga. También puede mejorar la seguridad asegurándose de que los pasos del proceso se realizan de forma rápida, coherente y según sus requisitos predefinidos.

En este artículo se describe la característica de automatización de flujos de trabajo de Microsoft Defender for Cloud. Esta característica puede desencadenar aplicaciones lógicas sobre alertas de seguridad, recomendaciones y cambios en el cumplimiento normativo. Por ejemplo, si quiere que Defender for Cloud envíe un correo electrónico a un usuario específico cuando se produce una alerta. También aprenderá a crear instancias de Logic Apps con Azure Logic Apps.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Gratuito
Roles y permisos necesarios: Rol Administrador de seguridad o Propietario en el grupo de recursos
También debe tener permisos de escritura para el recurso de destino.

Para trabajar con flujos de trabajo de Azure Logic Apps, también debe tener los siguientes roles o permisos de Logic Apps:
Son necesarios los permisos de - Operador de aplicación lógica o el acceso de lectura o desencadenamiento de aplicación lógica (este rol no puede crear ni editar aplicaciones lógicas, solo ejecutar las existentes).
Los permisos de - Colaborador de la aplicación lógica son necesarios para la creación y modificación de aplicaciones lógicas.
Si quiere usar conectores de aplicaciones lógicas, es posible que necesite credenciales adicionales para iniciar sesión en sus servicios respectivos (por ejemplo, en las instancias de Outlook, Teams o Slack).
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet)

Creación de una aplicación lógica y definición de cuándo debería ejecutarse automáticamente

  1. En la barra lateral de Defender for Cloud, seleccione Automatización de flujos de trabajo.

    Screenshot of workflow automation page showing the list of defined automations.

    Desde esta página puede crear nuevas reglas de automatización, así como habilitar, deshabilitar o eliminar las existentes.

  2. Para definir un nuevo flujo de trabajo, haga clic en Add workflow automation (Agregar automatización de flujos de trabajo). Se abre el panel de opciones de la nueva automatización.

    Add workflow automations pane.

    Aquí puede escribir lo siguiente:

    1. Un nombre y descripción para la automatización.

    2. Los desencadenadores que iniciarán este flujo de trabajo automático. Por ejemplo, cuando quiera que la aplicación lógica se ejecute cuando se genere una alerta de seguridad que contenga "SQL".

      Nota

      Si el desencadenador es una recomendación que tiene "recomendaciones secundarias", por ejemplo Se deben remediar los resultados de evaluación de vulnerabilidades en las bases de datos SQL, la aplicación lógica no se desencadenará para cada nueva búsqueda de seguridad; solo cuando cambie el estado de la recomendación primaria.

    3. La aplicación lógica que se ejecutará cuando se cumplan las condiciones del desencadenador.

  3. En la sección Acciones, seleccione visitar la página de aplicación lógica para comenzar el proceso de creación de la aplicación lógica.

    Se le dirigirá a Azure Logic Apps.

  4. Seleccione Agregar.

    Creating a new Logic App.

  5. Escriba un nombre, un grupo de recursos y una ubicación, y seleccione Revisar y crear>Crear.

    Aparece el mensaje Implementación en curso. Espere a que aparezca la notificación de implementación completa y seleccione Ir al recurso en la notificación.

  6. En la nueva aplicación lógica, puede decidir si quiere usar plantillas predefinidas integradas en la categoría de seguridad. También puede definir un flujo de eventos personalizado para que se active cuando se desencadene este proceso.

    Sugerencia

    A veces, en una aplicación lógica, los parámetros se incluyen en el conector como parte de una cadena y no en su propio campo. Para ver un ejemplo de cómo extraer parámetros, consulte el paso 14 de Trabajo con parámetros de aplicaciones lógicas en la creación de automatizaciones de flujo de trabajo de Microsoft Defender for Cloud.

    El diseñador de aplicaciones lógicas admite estos desencadenadores de Defender for Cloud:

    • Cuando se crea o se desencadena una recomendación de Microsoft Defender for Cloud: si la aplicación lógica se basa en una recomendación que entra en desuso o se reemplaza, la automatización dejará de funcionar y deberá actualizar el desencadenador. Para realizar un seguimiento de los cambios en las recomendaciones, use las notas de la versión.

    • Cuando se crea o se desencadena una alerta de Defender for Cloud: puede personalizar el desencadenador para que se refiera solo a las alertas con los niveles de gravedad que le interesen.

    • Cuando se crea o se desencadena una evaluación de cumplimiento normativo de Defender for Cloud: se desencadenan automatizaciones según las actualizaciones de las evaluaciones de cumplimiento normativo.

    Nota

    Si utiliza el desencadenador heredado "Cuando se desencadena una respuesta a una alerta de Microsoft Defender for Cloud", la característica de automatización de flujos de trabajo no iniciará su instancia de aplicación lógica. En su lugar, use cualquiera de los desencadenadores mencionados anteriormente.

    Sample logic app.

  7. Una vez que haya definido la aplicación lógica, vuelva al panel de la definición de automatización del flujo de trabajo ("Agregar automatización de flujos de trabajo"). Haga clic en Actualizar para asegurarse de que la nueva aplicación lógica está disponible en la selección.

    Refresh.

  8. Seleccione la aplicación lógica y guarde la automatización. Tenga en cuenta que la lista desplegable de aplicaciones lógicas solo muestra las aplicaciones lógicas con los conectores de Defender for Cloud complementarios mencionados anteriormente.

Desencadenar manualmente una aplicación lógica

También puede ejecutar Logic Apps manualmente al ver una alerta o recomendación de seguridad.

Para ejecutar manualmente una aplicación lógica, abra una alerta o recomendación y haga clic en Desencadenar aplicación lógica:

Manually trigger a Logic App.

Configuración de la automatización de flujos de trabajo a escala mediante las directivas suministradas

La automatización de los procesos de supervisión y respuesta ante incidentes de la organización puede mejorar considerablemente el tiempo necesario para investigar y mitigar los incidentes de seguridad.

Para implementar las configuraciones de automatización en la organización, use las directivas "DeployIfNotExist" de Azure Policy proporcionadas que se describen a continuación para crear y configurar los procedimientos de automatización de flujos de trabajo.

Empiece a usar las plantillas de automatización de flujos de trabajo.

Para implementar estas directivas:

  1. Desde la tabla siguiente, seleccione la directiva que quiere aplicar:

    Objetivo Directiva Id. de directiva
    Automatización de flujos de trabajo para alertas de seguridad Implementación de la automatización de flujos de trabajo para alertas de Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automatización de flujos de trabajo para recomendaciones de seguridad Implementación de la automatización de flujos de trabajo para recomendaciones de Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatización de flujos de trabajo para cambios de cumplimiento normativo Implementación de la automatización de flujos de trabajo para el cumplimiento normativo de Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Sugerencia

    También puede encontrarlos buscando Azure Policy:

    1. Abra Azure Policy. Accessing Azure Policy.
    2. En el menú Azure Policy, seleccione Definiciones y realice la búsqueda por nombre.
  2. En la página pertinente de Azure Policy, seleccione Asignar. Assigning the Azure Policy.

  3. Abra cada pestaña y establezca los parámetros como quiera:

    1. En la pestaña Aspectos básicos, establezca el ámbito de la directiva. Para usar la administración centralizada, asigne la directiva al grupo de administración que contiene las suscripciones que usarán la automatización de flujos de trabajo.

    2. En la pestaña Parámetros, establezca el grupo de recursos y los detalles del tipo de datos.

      Sugerencia

      Cada parámetro tiene información sobre herramientas que explica las opciones disponibles.

      La pestaña Parámetros de Azure Policy (1) proporciona acceso a opciones de configuración similares, como la página de automatización de flujos de trabajo de Defender for Cloud (2). Comparing the parameters in workflow automation with Azure Policy.

    3. Opcionalmente, para aplicar esta asignación a las suscripciones existentes, abra la pestaña Corrección y seleccione la opción para crear una tarea de corrección.

  4. Revise la página de resumen y seleccione Crear.

Esquemas de tipos de datos

Para ver los esquemas de eventos sin procesar de las alertas de seguridad o los eventos de recomendaciones que se pasan a la instancia de aplicación lógica, consulte los Esquemas de tipos de datos de automatización de flujo de trabajo. Puede resultar útil en los casos en que no se usan los conectores de aplicación lógica integrados de Defender for Cloud mencionados anteriormente, sino que alternativamente se usa el conector HTTP genérico de la aplicación lógica; puede usar el esquema JSON del evento para analizarlo manualmente como considere oportuno.

Preguntas frecuentes: Automatización del flujo de trabajo

¿La automatización de flujos de trabajo es compatible con los escenarios de continuidad empresarial o recuperación ante desastres (BCDR)?

Al preparar el entorno para escenarios de BCDR, en los que el recurso de destino está experimentando una interrupción u otro desastre, la organización tiene la responsabilidad de evitar la pérdida de datos mediante la preparación de copias de seguridad de acuerdo con las instrucciones de Azure Event Hubs, el área de trabajo de Log Analytics y la aplicación lógica.

Para cada automatización activa, se recomienda crear una automatización idéntica (deshabilitada) y almacenarla en una ubicación diferente. Cuando se produce una interrupción, puede habilitar estas automatización de copias de seguridad y mantener las operaciones normales.

Obtenga más información sobre continuidad empresarial y recuperación ante desastres para Azure Logic Apps.

Pasos siguientes

En este artículo, ha obtenido información sobre cómo crear aplicaciones lógicas, automatizar su ejecución en Defender for Cloud y ejecutarlas manualmente.

Para obtener material relacionado, consulte: