Automatiser les réponses aux déclencheurs Security Center

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure l’envoi de notifications aux parties prenantes concernées, le lancement d’un processus de gestion des changements et l’application d’étapes de correction spécifiques. Les experts en sécurité vous conseillent d’automatiser le plus possible les étapes de ces processus. D’une part, l’automatisation réduit votre charge de travail. D’autre part, elle contribue à renforcer votre sécurité en garantissant que les étapes des processus sont effectuées rapidement, de manière cohérente et selon vos exigences prédéfinies.

Cet article décrit la fonctionnalité Automatisation des workflows d’Azure Security Center. Cette fonctionnalité peut déclencher Logic Apps sur les alertes de sécurité, les recommandations et les modifications apportées à la conformité réglementaire. Par exemple, vous pouvez définir que Security Center envoie un e-mail à un utilisateur donné quand une alerte se produit. Vous allez également apprendre à créer des applications logiques à l’aide du service Azure Logic Apps.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Prix : Gratuit
Rôles et autorisations obligatoires : Rôle d’administrateur de sécurité ou Propriétaire sur le groupe de ressources
Doit également disposer d’autorisations en écriture sur la ressource cible

Pour utiliser des workflows Azure Logic Apps, vous devez également disposer des autorisations/rôles Logic Apps suivants :
- Les autorisations Opérateur d’application logique sont nécessaires pour lire/déclencher des applications logiques (ce rôle ne permet pas la création ni la modification d’applications logiques ; il sert uniquement à exécuter des applications existantes)
- Les autorisations Contributeur d’application logique sont requises pour la création et la modification d’applications logiques
Si vous souhaitez utiliser des connecteurs d’applications logiques, vous pouvez avoir besoin d’informations d’identification supplémentaires pour vous connecter à leurs services respectifs (par exemple, vos instances Outlook/Teams/Slack).
Clouds : Clouds commerciaux
National/Souverain (Azure Government, Azure China 21Vianet)

Créer une application logique et définir le moment de son exécution automatique

  1. Dans la barre latérale de Security Center, sélectionnez Automatisation des workflows.

    Liste d’automatisations des workflows.

    À partir de cette page, vous pouvez créer des règles d’automatisation, et activer, désactiver ou supprimer des règles existantes.

  2. Pour définir un nouveau workflow, cliquez sur Add workflow automation (Ajouter une automatisation de workflow).

    Un volet s’affiche avec les options de votre nouvelle automatisation. Vous pouvez y entrer :

    1. Le nom et la description de l’automatisation.

    2. Les déclencheurs qui lanceront l’exécution de ce workflow automatique. Par exemple, vous pouvez définir que votre application logique s’exécute quand une alerte de sécurité contenant « SQL » est générée.

      Notes

      Si votre déclencheur est une recommandation qui contient des « sous-recommandations », par exemple Les résultats de l’évaluation des vulnérabilités sur vos bases de données SQL doivent être corrigés, l’application logique ne se déclenchera pas pour chaque nouvelle recherche de sécurité, mais uniquement lorsque l’état de la recommandation mère change.

    3. L’application logique à exécuter lorsque les conditions du déclencheur définies seront remplies.

      Volet Ajouter des automatisations de workflow.

  3. Dans la section Actions, cliquez sur Create a new one (Créer) pour commencer le processus de création de l’application logique.

    Vous êtes redirigé vers le service Azure Logic Apps.

    Création d’une nouvelle Application logique.

  4. Entrez un nom, un groupe de ressources et un emplacement, puis cliquez sur Créer.

  5. Dans votre nouvelle application logique, vous pouvez choisir des modèles prédéfinis intégrés dans la catégorie Sécurité. Vous pouvez aussi définir un workflow personnalisé des événements attendus au déclenchement de ce processus.

    Conseil

    Parfois, dans une application logique, les paramètres sont inclus dans le connecteur dans le cadre d’une chaîne et non dans leur propre champ. Pour obtenir un exemple d’extraction de paramètres, consultez l’étape 14 de Utilisation des paramètres de l’application logique lors de la génération d’automatisations des workflows Azure Security Center.

    Le concepteur d’applications logiques prend en charge les déclencheurs Security Center suivants :

    • Quand une recommandation Azure Security Center est créée ou déclenchée : si votre application logique repose sur une recommandation qui est dépréciée ou remplacée, votre automatisation cesse de fonctionner et vous devez mettre à jour le déclencheur. Pour suivre les changements apportés aux recommandations, consultez les notes de publication Azure Security Center.

    • Quand une alerte Azure Security Center est créée ou déclenchée : vous pouvez personnaliser le déclencheur pour qu’il ne concerne que les alertes dont les niveaux de gravité vous intéressent.

    • Quand une évaluation Security Center de la conformité réglementaire est créée ou déclenchée : déclenchez des automatisations en fonction des mises à jour apportées aux évaluations de conformité réglementaire.

    Notes

    Si vous utilisez le déclencheur hérité « Quand une réponse à une alerte Azure Security Center est déclenchée », votre application logique n’est pas lancée par la fonctionnalité Automatisation des workflows. À la place, utilisez l’un des déclencheurs mentionnés ci-dessus.

    Exemple d’application logique.

  6. Après avoir défini votre application logique, revenez au volet de définition de l’automatisation des workflows (« Ajouter une automatisation de workflow »). Cliquez sur Actualiser afin de rendre votre nouvelle application logique disponible pour la sélection.

    Actualiser :

  7. Sélectionnez votre application logique et enregistrez l’automatisation. Notez que la liste déroulante Application logique affiche uniquement les applications logiques disposant des connecteurs Security Center pris en charge mentionnés ci-dessus.

Déclencher manuellement une application logique

Vous pouvez également exécuter des applications logiques manuellement quand une alerte ou recommandation de sécurité quelconques s’affichent.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis cliquez sur Déclencher l’application logique :

Déclencher manuellement une Application logique.

Configurer l’automatisation des workflows à grande échelle à l’aide des stratégies fournies

L’automatisation des processus d’analyse et de réponse aux incidents de votre organisation peut réduire de manière significative le temps requis pour examiner et atténuer les incidents de sécurité.

Pour déployer vos configurations d’automatisation à l’échelle de votre organisation, utilisez les stratégies Azure Policy « DeployIfdNotExist » fournies qui sont décrites ci-dessous pour créer et configurer les procédures d’automatisation des workflows.

Prise en main des modèles d’automatisation de flux de travail.

Pour implémenter ces stratégies :

  1. Dans le tableau ci-dessous, sélectionnez la stratégie que vous souhaitez appliquer :

    Objectif Policy ID de stratégie
    Automatisation du flux de travail pour les alertes de sécurité Déployer l’automatisation de workflow pour les alertes Azure Security Center f1525828-9a90-4fcf-be48-268cdd02361e
    Automatisation du flux de travail pour les recommandations de sécurité Déployer l’automatisation de workflow pour les recommandations Azure Security Center 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatisation des workflows pour les modifications de conformité réglementaire Déployer l’automatisation des workflows pour la conformité réglementaire Azure Security Center 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Conseil

    Vous pouvez également les trouver faisant une recherche dans Azure Policy :

    1. Ouvrez Azure Policy. Accès à Azure Policy.
    2. Dans le menu Azure Policy, sélectionnez Définitions et recherchez-les par nom.
  2. Dans la page Azure Policy appropriée, sélectionnez Attribuer. Attribution d’Azure Policy.

  3. Ouvrez chaque onglet et définissez les paramètres comme vous le souhaitez :

    1. Sous l’onglet Général, définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, attribuez la stratégie au groupe d’administration contenant les abonnements qui utiliseront la configuration de l’automatisation des workflows.

    2. Dans l’onglet Paramètres, définissez les détails du groupe de ressources et du type de données.

      Conseil

      Chaque paramètre est accompagné d’une info-bulle qui explique les options disponibles.

      L’onglet Paramètres d’Azure Policy (1) donne accès à des options de configuration similaires à celles de la page d’automatisation des workflows de Security Center (2). Comparaison des paramètres de l’automatisation des workflows avec Azure Policy.

    3. Si vous le souhaitez, pour appliquer cette attribution à des abonnements existants, ouvrez l’onglet Correction et sélectionnez l’option permettant de créer une tâche de correction.

  4. Consultez la page de résumé et sélectionnez Créer.

Schémas des types de données

Pour consulter les schémas d’événements bruts des alertes de sécurité ou les recommandations que les événements ont transmises à l’instance Logic App, consultez Schémas des types de données pour l’automatisation du workflow. Cela peut se révéler utile si vous n’utilisez pas les connecteurs Logic App intégrés du Centre de sécurité mentionnés plus haut, mais le connecteur HTTP générique de Logic App. Vous pouvez utiliser le schéma JSON d’événement pour l’analyser manuellement si vous le souhaitez.

FAQ : Automatisation du workflow

L’automatisation des workflows prend-elle en charge les scénarios de continuité d'activité et reprise d'activité (BCDR) ?

Lors de la préparation de votre environnement pour les scénarios BCDR, où la ressource cible subit une panne ou un autre incident, il incombe à l’organisation d’éviter la perte de données en créant des sauvegardes conformes aux instructions fournies par Azure Event Hubs, l’espace de travail Log Analytics et l’application logique.

Pour chaque automatisation active, nous vous recommandons de créer une automation identique (désactivée) et de la stocker à un autre emplacement. En cas de panne, vous pouvez activer ces automations de sauvegarde et gérer les opérations normales.

En savoir plus sur la Continuité d’activité et reprise d’activité pour Azure Logic Apps.

Étapes suivantes

Dans cet article, vous avez appris à créer des applications logiques, à automatiser leur exécution dans Security Center et à les exécuter manuellement.

Consultez les documents connexes suivants :