A Microsoft Defender for Cloud eseményindítóira adott válaszok automatizálása

Minden biztonsági program több munkafolyamatot is tartalmaz az incidenskezeléshez. Ezek a folyamatok magukban foglalhatják az érintett felek értesítését, a változáskezelési folyamat elindítását és a konkrét javítási lépések alkalmazását. A biztonsági szakértők azt javasolják, hogy a lehető legtöbb lépést automatizálja. Az automatizálás csökkenti a többletterhelést. A folyamat lépéseinek gyors, következetes és az előre meghatározott követelményeknek megfelelő végrehajtásával a biztonságot is javíthatja.

Ez a cikk a Microsoft Defender for Cloud munkafolyamat-automatizálási funkcióját ismerteti. Ez a funkció aktiválhatja a Logic Appst a biztonsági riasztások, javaslatok és a jogszabályi megfelelőség változásai esetén. Előfordulhat például, hogy azt szeretné, hogy a Defender for Cloud küldjön e-mailt egy adott felhasználónak riasztás esetén. Azt is megtudhatja, hogyan hozhat létre Logic Apps-alkalmazásokat az Azure Logic Apps használatával.

Rendelkezésre állás

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Árképzés:	Ingyenes
Szükséges szerepkörök és engedélyek:	Biztonsági rendszergazdai szerepkör vagy tulajdonos az erőforráscsoportban Írási engedélyekkel is rendelkeznie kell a célerőforráshoz Az Azure Logic Apps-munkafolyamatok használatához a következő Logic Apps-szerepkörökkel/engedélyekkel is rendelkeznie kell: - Logikaialkalmazás-kezelői engedélyek szükségesek, vagy a logikai alkalmazás olvasási/eseményindítói hozzáférése szükséges (ez a szerepkör nem tud logikai alkalmazásokat létrehozni vagy szerkeszteni, csak meglévőket futtatni ) - Logikai alkalmazás közreműködői engedélyei szükségesek a logikai alkalmazások létrehozásához és módosításához Ha Logic App-összekötőket szeretne használni, előfordulhat, hogy más hitelesítő adatokra van szüksége a saját szolgáltatásaikba való bejelentkezéshez (például az Outlook-/Teams-/Slack-példányokhoz)
Felhők:	Kereskedelmi felhők Nemzeti (Azure Government, Azure China 21Vianet)

Logikai alkalmazás létrehozása és annak meghatározása, hogy mikor kell automatikusan futnia

1. A Defender for Cloud oldalsávján válassza a Munkafolyamat-automatizálás lehetőséget.

   

   Ezen a lapon új automatizálási szabályokat hozhat létre, engedélyezheti, letilthatja vagy törölheti a meglévőket.

2. Új munkafolyamat definiálásához válassza a Munkafolyamat-automatizálás hozzáadása lehetőséget. Megnyílik az új automatizálás beállítások panelje.

   

   Itt adhatja meg a következőt:

   1. Az automatizálás neve és leírása.

   2. Az automatikus munkafolyamatot kezdeményező eseményindítók. Előfordulhat például, hogy azt szeretné, hogy a logikai alkalmazás az "SQL" értéket tartalmazó biztonsági riasztás létrehozásakor fusson.

      Megjegyzés

      Ha az eseményindító olyan javaslat, amely "aljavaslatokkal" rendelkezik, például az SQL-adatbázisok sebezhetőségi felmérési eredményeit kell kijavítani, a logikai alkalmazás nem aktiválódik minden új biztonsági megállapítás esetében; csak akkor, ha a szülőjavaslat állapota megváltozik.

   3. A logikai alkalmazás, amely akkor fut, amikor teljesülnek az eseményindító feltételei.

3. A Műveletek szakaszban válassza a Logic Apps oldalának felkeresését a logikai alkalmazás létrehozásának megkezdéséhez.

   

   A rendszer az Azure Logic Appsbe viszi.

4. Válassza a (+) Hozzáadás lehetőséget.

   

5. Töltse ki az összes szükséges mezőt, és válassza a Véleményezés + Létrehozás lehetőséget.

   Megjelenik az üzembe helyezés folyamatban lévő üzenete. Várja meg, amíg az üzembe helyezés teljes értesítése megjelenik, és válassza az Erőforrás megnyitása lehetőséget az értesítésből.

6. Tekintse át a megadott adatokat, és válassza a Létrehozás lehetőséget.

   Az új logikai alkalmazásban a biztonsági kategória beépített, előre definiált sablonjai közül választhat. Vagy megadhat egy egyéni eseményfolyamot is, amely a folyamat aktiválásakor következik be.

   Tipp

   A logikai alkalmazásokban néha a paraméterek nem a saját mezőjükben, hanem egy sztring részeként szerepelnek az összekötőben. Példák a paraméterek kinyerésére: a logikai alkalmazás paramétereinek használata a Microsoft Defender felhőbeli munkafolyamat-automatizálásainak létrehozása során.

   A logikaialkalmazás-tervező a következő Defender for Cloud-eseményindítókat támogatja:

   • A Microsoft Defender for Cloud-javaslat létrehozásakor vagy aktiválásakor – Ha a logikai alkalmazás elavult vagy lecserélt javaslatra támaszkodik, az automatizálás leáll, és frissítenie kell az eseményindítót. A javaslatok módosításainak nyomon követéséhez használja a kibocsátási megjegyzéseket.

   • A felhőalapú Defender-riasztás létrehozásakor vagy aktiválásakor testre szabhatja az eseményindítót, hogy az csak az Önt érdeklő súlyossági szintekkel rendelkező riasztásokhoz kapcsolódjon.

   • A Defender for Cloud jogszabályi megfelelőségi felmérésének létrehozásakor vagy aktiválásakor a jogszabályi megfelelőségi értékelések frissítései alapján automatizálásokat indíthat el.

   Megjegyzés

   Ha a "Microsoft Defender for Cloud-riasztásra adott válasz aktiválásakor" örökölt eseményindítót használja, a logikai alkalmazásokat nem indítja el a Munkafolyamat-automatizálás funkció. Ehelyett használja a fent említett triggerek egyikét.

   

7. A logikai alkalmazás definiálása után térjen vissza a munkafolyamat-automatizálás definíciós paneljére ("Munkafolyamat-automatizálás hozzáadása"). Válassza a Frissítés lehetőséget, és győződjön meg arról, hogy az új logikai alkalmazás elérhető a kiválasztáshoz.

   

8. Válassza ki a logikai alkalmazást, és mentse az automatizálást. A Logic App legördülő listájában csak a Logic Apps látható, amely támogatja a fent említett Defender for Cloud-összekötőket.

Logikai alkalmazás manuális aktiválása

A Logic Appst manuálisan is futtathatja biztonsági riasztások vagy javaslatok megtekintésekor.

Logikai alkalmazás manuális futtatásához nyisson meg egy riasztást vagy egy javaslatot, és válassza a Logikai alkalmazás aktiválása lehetőséget:

Munkafolyamat-automatizálás konfigurálása nagy léptékben a megadott szabályzatok használatával

A szervezet monitorozási és incidensmegoldási folyamatainak automatizálása jelentősen javíthatja a biztonsági incidensek kivizsgálásához és enyhítéséhez szükséges időt.

Az automatizálási konfigurációk szervezeten belüli üzembe helyezéséhez használja az alább ismertetett Azure Policy "DeployIfNotExist" szabályzatokat a munkafolyamat-automatizálási eljárások létrehozásához és konfigurálásához.

Bevezetés a munkafolyamat-automatizálási sablonok használatbavételebe.

A szabályzatok megvalósítása:

1. Az alábbi táblázatban válassza ki az alkalmazni kívánt szabályzatot:

   Cél	Szabályzat	Szabályzat azonosítója
   Munkafolyamat-automatizálás biztonsági riasztásokhoz	Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-riasztásokhoz	f1525828-9a90-4fcf-be48-268cdd02361e
   Munkafolyamat-automatizálás biztonsági javaslatokhoz	Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-javaslatokhoz	73d6ab6c-2475-4850-afd6-43795f3492ef
   Munkafolyamat-automatizálás a jogszabályi megfelelőség változásaihoz	Munkafolyamat-automatizálás üzembe helyezése a Felhőhöz készült Microsoft Defender jogszabályi megfelelőségéhez	509122b9-ddd9-47ba-a5f1-d0dac20be63c

   Tipp

   Ezeket a Azure Policy keresésével is megtalálhatja:

   1. Nyissa meg a Azure Policy.
   2. A Azure Policy menüben válassza a Definíciók lehetőséget, és keressen rájuk név szerint.

2. A megfelelő Azure Policy lapon válassza a Hozzárendelés lehetőséget.

3. Nyissa meg az egyes lapokat, és állítsa be a kívánt paramétereket:

   1. Az Alapok lapon állítsa be a szabályzat hatókörét. A központosított felügyelet használatához rendelje hozzá a házirendet a munkafolyamat-automatizálási konfigurációt használó előfizetéseket tartalmazó felügyeleti csoporthoz.
   2. A Paraméterek lapon adja meg a szükséges adatokat.

   

   1. (Nem kötelező) Alkalmazza ezt a hozzárendelést egy meglévő előfizetésre a Szervizelés lapon, és válassza ki a javítási feladat létrehozásának lehetőségét.

4. Tekintse át az összefoglaló lapot, és válassza a Létrehozás lehetőséget.

Adattípusok sémái

A logikaialkalmazás-példánynak átadott biztonsági riasztások vagy javaslatok eseménysémáinak nyers eseménysémáit a munkafolyamat-automatizálás adattípus-sémáiban tekintheti meg. Ez olyan esetekben lehet hasznos, amikor nem a Defender for Cloud fent említett beépített Logic App-összekötőit használja, hanem a Logic App általános HTTP-összekötőjét használja – az esemény JSON-sémájával manuálisan elemezheti azt, ahogy azt látja.

Gyakori kérdések – Munkafolyamat-automatizálás

Támogatja a munkafolyamat-automatizálás az üzletmenet-folytonossági vagy vészhelyreállítási (BCDR) forgatókönyveket?

Amikor a környezetet BCDR-forgatókönyvekre készíti elő, amikor a célerőforrás leállást vagy más katasztrófát tapasztal, a szervezet felelőssége, hogy megakadályozza az adatvesztést azáltal, hogy biztonsági másolatokat hoz létre a Azure Event Hubs, a Log Analytics-munkaterület és a Logic App irányelveinek megfelelően.

Javasoljuk, hogy minden aktív automatizáláshoz hozzon létre egy azonos (letiltott) automatizálást, és tárolja azt egy másik helyen. Leállás esetén engedélyezheti ezeket a biztonsági mentési automatizálásokat, és fenntarthatja a normál műveleteket.

További információ az Azure Logic Apps üzletmenet-folytonosságáról és vészhelyreállításáról.

Következő lépések

Ebben a cikkben megismerhette a Logic Apps létrehozását, a végrehajtásuk automatizálását a Defender for Cloudban, és manuálisan futtatta őket.

A kapcsolódó anyagokért lásd:

• A Microsoft Learn modulja, amely bemutatja, hogyan automatizálhat biztonsági választ munkafolyamat-automatizálással
• Biztonsági javaslatok a Microsoft Defender for Cloudban
• Biztonsági riasztások a Microsoft Defender for Cloudban
• Azure Logic Apps
• Az Azure Logic Apps összekötői
• Munkafolyamat-automatizálási adattípussémák