Usare l'automazione del flusso di lavoro per automatizzare le risposte
Spesso, la risposta per una minaccia di sicurezza specifica è nota e, se implementata rapidamente, può trasformare un'interruzione o una divulgazione di dati in una seccatura di poca importanza. Ad esempio, quando viene rilevato un attacco Denial of Service da un intervallo IP, una risposta tipica potrebbe attivare il blocco di tale intervallo IP sul firewall.
Microsoft Defender for Cloud offre una funzionalità denominata Automazione del flusso di lavoro per eseguire questi tipi di risposte quando vengono rilevati avvisi di sicurezza specifici.
Che cos'è Automazione del flusso di lavoro in Microsoft Defender for Cloud?
Un'automazione del flusso di lavoro è una raccolta di procedure raggruppate che possono essere eseguite dal team di risposta di sicurezza con un solo clic. Queste procedure vengono eseguite in Defender for Cloud quando viene rilevato un avviso specifico. Queste azioni non vengono attivate automaticamente e richiedono l'esecuzione dell'interazione umana.
Le automazioni del flusso di lavoro sono basate su App per la logica di Azure. Si possono personalizzare facilmente la logica e il flusso di lavoro usando Progettazione flussi di lavoro. È possibile iniziare con un'app per la logica esistente oppure crearne una nuova. È quindi possibile usare Defender per il cloud per attivarlo quando viene generato un avviso.
Di seguito sono riportate alcune delle azioni predefinite:
- Creare un report automatico degli eventi imprevisti in un altro sistema, compilando i campi dall'avviso attivo
- Inviare un messaggio di posta elettronica a un gruppo di distribuzione con informazioni dettagliate sugli avvisi attivi
- Inviare una notifica a un team o a un canale Slack
Tuttavia, poiché le app per la logica possono integrare Funzioni di Azure e webhook, le azioni possibili sono infinite. Si immagini il caso di un cliente che usa il servizio in modo improprio e genera un avviso in Defender for Cloud. È possibile creare una funzione di Azure personalizzata per accettare l'indirizzo IP di origine dall'avviso e creare una regola nel firewall per bloccare tutto il traffico in ingresso da tale indirizzo. Una rappresentazione visiva di questa funzione potrebbe essere simile alla seguente:
