Indietro

Prossima

Esercizio - Configurare un playbook per un evento di sicurezza

Completato

Le automazioni del flusso di lavoro vengono create direttamente nel portale di Defender for cloud.

Importante

Per usare questo set specifico di istruzioni, è necessario un account di posta elettronica di Microsoft 365. Se non è disponibile, provare a modificare le istruzioni riportate di seguito per usare un modello diverso o creare un'app per la logica vuota.

1. Accedere al portale di Azure con lo stesso account usato per attivare la sandbox di Azure.

2. Cercare e selezionare Microsoft Defender per il cloud usando la casella di ricerca. Viene visualizzato il riquadro Panoramica per Defender for Cloud.

3. Nel riquadro dei menu a sinistra, in Gestione selezionare Automazione flusso di lavoro.

4. Nella barra dei menu in alto selezionare + Aggiungi automazione del flusso di lavoro per creare una nuova automazione. Viene visualizzato il riquadro Aggiungi automazione flusso di lavoro.

5. Immettere i valori seguenti per ogni impostazione:

   Impostazione	Valore
   Generali
   Nome	RespondToMalwareAlert
   Subscription	Concierge Subscription
   Gruppo di risorse	[Gruppo di risorse Learn]
   Condizioni di trigger
   Selezionare i tipi di dati di Defender for cloud	Avviso di sicurezza
   Il nome dell'avviso contiene	Malware
   Gravità dell'avviso	Tutte le gravità selezionate

6. In Azioni è possibile selezionare un'app per la logica di Azure esistente o crearne una nuova. Poiché non ne è ancora disponibile uno, selezionare il collegamento alla pagina App per la logica per creare una nuova app per la logica.

   Viene visualizzato il riquadro App per la logica. Verificare di trovarsi ancora nella directory Microsoft Learn Sandbox prima di continuare.

7. Nella barra dei menu in alto selezionare + Aggiungi. Viene visualizzato il riquadro Crea un'app per la logica.

8. Nella scheda Informazioni di base immettere i valori indicati di seguito per ogni impostazione:

   Impostazione	Valore
   Dettagli di progetto
   Subscription	Concierge Subscription
   Gruppo di risorse	[Gruppo di risorse Learn]
   Dettagli istanza
   Nome dell'app per la logica	RespondToMalwareAlert
   Tipo di piano	Consumo

   Nota

   È necessario un nome univoco per l'app per la logica. Se il nome suggerito non è disponibile, modificarlo o selezionare un altro nome.

   Accettare i valori predefiniti per i campi rimanenti.

   

9. Selezionare Rivedi e crea e quindi Crea. La creazione dell'app richiede alcuni minuti. È possibile monitorare la creazione tramite l'icona Notifiche o selezionare Aggiorna per aggiornare la schermata.

10. Dopo aver creato l'app per la logica, selezionare Vai alla risorsa.

11. Selezionare Progettazione app per la logica in Strumenti di sviluppo nel menu a sinistra.

12. Scorrere verso il basso fino alla sezione Modelli e selezionare Sicurezza dall'elenco a discesa Categoria.

13. Selezionare Recupera un messaggio di posta elettronica di notifica quando Defender per il cloud rileva una minaccia e quindi selezionare Usa questo modello. È anche possibile selezionare App per la logica vuota se si vuole creare una logica personalizzata da eseguire in risposta a un avviso o se non si ha un account di posta elettronica basato su Microsoft 365.

    

14. Selezionare il collegamento Accedi nella casella Office 365 Outlook . Fornire le credenziali per Office 365 Outlook per connettere l'account di posta elettronica. Una volta convalidato, l'indirizzo di posta elettronica del proprietario verrà visualizzato nel connettore di Office 365 Outlook.

15. Selezionare Aggiungi nuovo nella casella Connessione ions. In questo modo l'app per la logica viene connessa a Microsoft Defender per il cloud.

    Nota

    Se il riquadro non viene aggiornato e non viene visualizzato il passaggio successivo, selezionare Visualizzazione Codice e quindi selezionare Finestra di progettazione.

16. Selezionare Continua per passare alla pagina dei dettagli.

17. Specificare un indirizzo di posta elettronica di destinazione a cui inviare la notifica.

18. In questa schermata è possibile modificare l'oggetto del messaggio di posta elettronica e tutti i dettagli che verranno inclusi.

19. È possibile usare il pulsante + Nuovo passaggio per creare altri passaggi della logica nel flusso. In questo caso, non è necessario un altro passaggio. Selezionare Salva dalla barra dei menu in alto.

20. Tornare al riquadro o alla scheda Defender for Cloud e selezionare Aggiorna per selezionare l'app per la logica appena creata.

21. Selezionare RespondToMalwareAlert (o qualsiasi altra app per la logica denominata) dall'elenco di App per la logica.

22. Selezionare Crea per creare l'automazione del flusso di lavoro.

Eseguire l'automazione del flusso di lavoro in Microsoft Defender for Cloud

Normalmente si eseguono playbook dal dashboard di protezione del carico di lavoro usando un avviso esistente.

1. Selezionare Avvisi di sicurezza nel riquadro dei menu a sinistra di Defender for Cloud.

2. In questo caso, selezionare un avviso, selezionare Visualizza dettagli completi, selezionare Esegui azione, selezionare l'elenco a discesa Trigger automated response (Attiva risposta automatica) e quindi Trigger logic app (Attiva app per la logica).

   

In questo caso, nella sandbox di Azure è probabile che non siano presenti avvisi, quindi non è possibile eseguire il playbook in questo modo. Tuttavia, è possibile testarlo tramite il pannello App per la logica.

Testare un'automazione del flusso di lavoro da App per la logica

1. Selezionare Home nella barra laterale nell'angolo a sinistra. L'app per la logica dovrebbe essere visualizzata come risorsa creata di recente. In caso contrario, provare a cercarlo dalla barra di ricerca superiore. Ricordare che il nome è RespondToMalwareAlert.

2. Nella barra dei menu in alto del riquadro Panoramica selezionare l'elenco a discesa Esegui e quindi selezionare Esegui.

   

3. In Cronologia esecuzioni nel riquadro Panoramica verrà visualizzata una nuova voce. Potrebbe essere necessario selezionare il pulsante Aggiorna nella parte superiore della schermata. che può essere selezionata per esaminare i dettagli. È ad esempio possibile visualizzare informazioni dettagliate sugli input e sugli output dell'esecuzione:

Input

{
    "method": "post",
    "path": "/Mail",
    "host": {
        "connection": {
            "name": "/subscriptions/abcd/resourceGroups/abcd/providers/Microsoft.Web/connections/office365"
        }
    },
    "body": {
        "Body": "Microsoft Defender for Cloud has discovered a potential security threat in your environment. Details below:\n\nAlert name: \n\nDescription: \n\nDetection time: \n\nAttacked resource: \n\nDetected by: \n\nAlert ID: ",
        "Importance": "High",
        "Subject": "Microsoft Defender for Cloud has discovered a potential security threat in your environment",
        "To": "john@doe.com"
    }
}

Output

{
    "statusCode": 200,
    "headers": {
        "Pragma": "no-cache",
        "x-ms-request-id": "615f4430-7433-4fd3-aa2d-000e8a1a0db9",
        "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
        "X-Content-Type-Options": "nosniff",
        "X-Frame-Options": "DENY",
        "Timing-Allow-Origin": "*",
        "x-ms-apihub-cached-response": "true",
        "Cache-Control": "no-store, no-cache",
        "Date": "Fri, 10 Oct 2019 09:17:32 GMT",
        "Set-Cookie": "ARRAffinity=9c9c847b5bd6c73a56d4f1afae4aecaa7f5b746d703be6c728afc87b6c50d7e3;Path=/;HttpOnly;Domain=office365-wus.azconn-wus.p.azurewebsites.net",
        "Content-Length": "0",
        "Expires": "-1"
    }
}

Si dovrebbe anche ricevere un messaggio di posta elettronica all'indirizzo di posta elettronica specificato che indica che Microsoft Defender per il cloud ha individuato una potenziale minaccia per la sicurezza nell'ambiente.

Complimenti. È stata configurata correttamente un'automazione del flusso di lavoro.

Continua