Automatizar respostas aos gatilhos do Microsoft Defender para Nuvem
Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga. Além disso, ela pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.
Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender para Nuvem. Esse recurso pode disparar Aplicativos Lógicos sobre alertas de segurança, recomendações e alterações na conformidade regulatória. Por exemplo, talvez você queira que o Defender para Nuvem envie um email a um usuário específico quando ocorrer um alerta. Você também aprenderá a criar Aplicativos Lógicos usando os Aplicativos Lógicos do Azure.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Disponibilidade Geral (GA) |
| Preço: | Gratuita |
| Funções e permissões necessárias: | Administrador de segurança ou Proprietário no grupo de recursos Também é necessário ter permissões de gravação para o recurso de destino Para trabalhar com os fluxos de trabalho dos Aplicativos Lógicos do Azure, você também deve ter as seguintes funções/permissões de Aplicativos Lógicos: Permissões de - Operador de Aplicativo Lógico são necessárias, ou acesso de leitura/gatilho do aplicativo lógico (essa função não pode criar ou editar aplicativos lógicos; apenas executar os existentes) As permissões de - Colaborador do Aplicativo Lógico são necessárias para a criação e modificação do Aplicativo Lógico Se você quiser usar conectores de Aplicativos Lógicos, talvez precise de outras credenciais para entrar em seus respectivos serviços (por exemplo, suas instâncias do Outlook/Teams/Slack) |
| Nuvens: |  Nuvens comerciais Nacional (Azure Governamental, Azure China 21Vianet) |
Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente
Na barra lateral do Defender para Nuvem, selecione Automação de fluxo de trabalho.
Nessa página, você pode criar novas regras de automação, habilitar, desabilitar ou excluir aquelas existentes.
Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho. O painel de opções da sua nova automação é aberto.
Aqui você pode inserir:
Um nome e uma descrição para a automação.
Os gatilhos que iniciarão esse fluxo de trabalho automático. Por exemplo, talvez você queira que seu Aplicativo Lógico seja executado quando um alerta de segurança que contenha "SQL" for gerado.
Observação
Se o gatilho for uma recomendação que tenha "subrecomendações", por exemplo, as descobertas de avaliação de vulnerabilidade em seus bancos de dados SQL devem ser corrigidas, o aplicativo lógico não será disparado para cada nova descoberta de segurança; somente quando o status da recomendação pai for alterado.
O Aplicativo Lógico que será executado quando suas condições de disparo forem atendidas.
Na seção Ações, selecione visitar a página Aplicativos Lógicos para iniciar o processo de criação do Aplicativo Lógico.
Você será levado para os Aplicativos Lógicos do Azure.
Selecione (+) Adicionar.
Preencha todos os campos obrigatórios e selecione Examinar + Criar.
A mensagem A implantação está em andamento aparece. Aguarde a exibição da notificação de conclusão da implantação e selecione Ir para o recurso na notificação.
Examine as informações inseridas e selecione Criar.
Em seu novo aplicativo lógico, você pode escolher entre modelos predefinidos internos da categoria segurança. Ou você pode definir um fluxo de eventos personalizado para ocorrer quando esse processo é disparado.
Dica
Às vezes, em um aplicativo lógico, os parâmetros são incluídos no conector como parte de uma cadeia de caracteres, e não em seu próprio campo. Para obter um exemplo de como extrair parâmetros, confira a etapa nº 14 de Trabalhando com parâmetros de aplicativo lógico ao criar automações de fluxo de trabalho do Microsoft Defender para Nuvem.
O designer do aplicativo lógico oferece suporte aos seguintes gatilhos do Defender para Nuvem:
Quando uma recomendação do Microsoft Defender para Nuvem é criada ou disparada – se o seu aplicativo lógico depender de uma recomendação que é preterida ou substituída, sua automação deixará de funcionar e será necessário atualizar o gatilho. Para controlar as alterações nas recomendações, use as notas sobre a versão.
Quando um alerta do Defender para Nuvem é criado ou disparado – Você pode personalizar o gatilho para que ele se relacione apenas a alertas com os níveis de severidade que lhe interessam.
Quando uma avaliação de conformidade regulatória do Defender para Nuvem é criada ou aciona – Dispare automações com base em atualizações de avaliações de conformidade regulatória.
Observação
Se você estiver usando o gatilho herdado “Quando uma resposta a um alerta do Microsoft Defender for Cloud for disparada”, seus aplicativos lógicos não serão iniciados pelo recurso de Automação do Fluxo de Trabalho. Em vez disso, use um dos gatilhos mencionados acima.
Depois de definir seu aplicativo lógico, retorne ao painel de definição de automação de fluxo de trabalho ("Adicionar automação de fluxo de trabalho"). Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.
Selecione seu aplicativo lógico e salve a automação. O menu suspenso do Aplicativo Lógico mostra apenas os aplicativos lógicos com suporte aos conectores do Defender para Nuvem mencionados acima.
Disparar um Aplicativo Lógico manualmente
Você também pode executar Aplicativos Lógicos manualmente ao exibir qualquer alerta de segurança ou recomendação.
Para executar manualmente um Aplicativo Lógico, abra um alerta ou uma recomendação e selecione Disparar Aplicativo Lógico:
Configurar a automação de fluxo de trabalho em escala usando as políticas fornecidas
A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.
Para implantar as configurações de automação em sua organização, use as políticas de "DeployIfNotExist" no Azure Policy fornecidas e descritas abaixo para criar e configurar os procedimentos de automação de fluxo de trabalho.
Introdução aos modelos de automação de fluxo de trabalho.
Para implementar essas políticas:
Na seguinte tabela, selecione a política que você deseja aplicar:
Goal Política ID da Política Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas do Microsoft Defender para Nuvem f1525828-9a90-4fcf-be48-268cdd02361e Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações do Microsoft Defender para Nuvem 73d6ab6c-2475-4850-afd6-43795f3492ef Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a Automação de Fluxo de Trabalho para conformidade regulatória do Microsoft Defender para Nuvem 509122b9-ddd9-47ba-a5f1-d0dac20be63c Dica
Você também pode encontrá-las pesquisando o Azure Policy:
- Abra o Portal do Azure.
- No menu do Azure Policy, selecione Definições e pesquise-as por nome.
- Abra o Portal do Azure.
Na página relevante do Azure Policy, selecione Atribuir.
Abra cada guia e defina os parâmetros conforme desejado:
- Na guia Noções básicas, defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao Grupo de Gerenciamento que contém as assinaturas que usarão a configuração de automação de fluxo de trabalho.
- Na guia Parâmetros, insira as informações necessárias.
- (Opcional) Aplique essa atribuição a uma assinatura existente na guia Correção e selecione a opção para criar uma tarefa de correção.
Examine a página de resumo e selecione Criar.
Esquemas de tipos de dados
Para exibir os esquemas de eventos brutos dos alertas de segurança ou eventos de recomendações passados para a instância do Aplicativo Lógico, visite os Esquemas de tipos de dados de automação de fluxo de trabalho. Isso pode ser útil em casos em que você não está usando os conectores do Aplicativo Lógico internos do Defender para Nuvem mencionados acima. Porém, em vez disso, está usando o conector HTTP genérico do Aplicativo Lógico – você pode usar o esquema JSON de evento para analisá-lo manualmente como desejar.
Perguntas frequentes – Automação de fluxo de trabalho
A automação de fluxo de trabalho é compatível com qualquer cenário de BCDR (continuidade de negócios ou recuperação de desastre)?
Ao preparar seu ambiente para cenários BCDR, em que o recurso de destino está passando por uma interrupção ou outro desastre, é responsabilidade da organização evitar a perda de dados ao estabelecer backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e do Aplicativo Lógico.
Para cada automação ativa, recomendamos que você crie uma automação idêntica (desabilitada) e armazene-a em um local diferente. Quando houver uma interrupção, você poderá habilitar essas automações de backup e manter as operações normais.
Saiba mais sobre a Continuidade dos negócios e a recuperação de desastres para os Aplicativos Lógicos do Azure.
Próximas etapas
Neste artigo, você aprendeu a criar Aplicativos Lógicos, automatizar sua execução no Defender para Nuvem e executá-los manualmente.
Para obter materiais relacionados, confira:
- O módulo Microsoft Learn sobre como usar a automação de fluxo de trabalho para automatizar uma resposta de segurança
- Recomendações de segurança no Microsoft Defender para Nuvem
- Alertas de segurança no Microsoft Defender para Nuvem
- Sobre os Aplicativos Lógicos do Azure
- Conectores de Aplicativos Lógicos do Azure
- Esquemas dos tipos de dados de automação de fluxo de trabalho