Automatisera svar på Security Center utlösare

Alla säkerhetsprogram innehåller flera arbetsflöden för incidenter. Dessa processer kan omfatta att meddela relevanta intressenter, starta en ändringshanteringsprocess och tillämpa specifika åtgärdssteg. Säkerhetsexperter rekommenderar att du automatiserar så många steg som möjligt i dessa procedurer. Automatisering minskar omkostnaderna. Det kan också förbättra din säkerhet genom att se till att processstegen utförs snabbt, konsekvent och enligt dina fördefinierade krav.

I den här artikeln beskrivs funktionen för arbetsflödesautomation i Azure Security Center. Den här funktionen kan Logic Apps säkerhetsaviseringar, rekommendationer och ändringar av regelefterlevnad. Du kanske till exempel vill Security Center att skicka e-post till en viss användare när en avisering inträffar. Du får också lära dig hur du skapar Logic Apps med Azure Logic Apps.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kostnadsfri
Nödvändiga roller och behörigheter: Säkerhetsadministratörsroll eller ägare för resursgruppen
Måste också ha skrivbehörighet för målresursen

Om du vill Azure Logic Apps arbetsflöden måste du också ha följande Logic Apps roller/behörigheter:
- Behörigheter för Logic App Operator krävs eller läs-/utlösaråtkomst för logikapp (den här rollen kan inte skapa eller redigera logikappar, kör bara befintliga)
- Behörigheter för Logic App-deltagare krävs för att skapa och ändra logikapp
Om du vill använda Logic App-anslutningsappar kan du behöva ytterligare autentiseringsuppgifter för att logga in på deras respektive tjänster (till exempel dina Outlook/Teams/Slack-instanser)
Moln: Kommersiella moln
Nationella/nationella (Azure Government, Azure China 21Vianet)

Skapa en logikapp och definiera när den ska köras automatiskt

  1. Från Security Center sidopanelen väljer du Arbetsflödesautomation.

    Lista över arbetsflödesautomation.

    På den här sidan kan du skapa nya automatiseringsregler samt aktivera, inaktivera eller ta bort befintliga.

  2. Om du vill definiera ett nytt arbetsflöde klickar du på Lägg till arbetsflödesautomation.

    Ett fönster visas med alternativen för din nya automatisering. Här kan du ange:

    1. Ett namn och en beskrivning för automatiseringen.

    2. De utlösare som ska initiera det här automatiska arbetsflödet. Du kanske till exempel vill att logikappen ska köras när en säkerhetsavisering som innehåller "SQL" genereras.

      Anteckning

      Om utlösaren är en rekommendation som innehåller "underrekommendationer", till exempel att upptäckta sårbarhetsbedömningar i dina SQL-databaser ska åtgärdas, utlöses inte logikappen för varje ny säkerhetsbedömning. endast när statusen för den överordnade rekommendationen ändras.

    3. Logikappen som ska köras när utlösarvillkoren uppfylls.

      Fönstret Lägg till arbetsflödesautomation.

  3. I avsnittet Åtgärder klickar du på Skapa en ny för att börja skapa logikappen.

    Du kommer att tas till Azure Logic Apps.

    Skapa en ny logikapp.

  4. Ange ett namn, en resursgrupp och en plats och klicka på Skapa.

  5. I din nya logikapp kan du välja bland inbyggda fördefinierade mallar från säkerhetskategorin. Eller så kan du definiera ett anpassat flöde av händelser som ska inträffa när den här processen utlöses.

    Tips

    I en logikapp ingår ibland parametrar i anslutningsappen som en del av en sträng och inte i sitt eget fält. Ett exempel på hur du extraherar parametrar finns i step #14 of Working with logic app parameters while building Azure Security Center workflow automations.

    Logikappdesignern stöder dessa Security Center utlösare:

    • När en Azure Security Center rekommendation skapas eller utlöses – Om logikappen förlitar sig på en rekommendation som blir inaktuell eller ersatt slutar automatiseringen att fungera och du måste uppdatera utlösaren. Om du vill spåra ändringar av rekommendationer kan du Azure Security Center den här versionen.

    • När en Azure Security Center avisering skapas eller utlöses – Du kan anpassa utlösaren så att den endast relaterar till aviseringar med de allvarlighetsnivåerna som intresserar dig.

    • När en Security Center en utvärdering av regelefterlevnad skapas eller utlöses – utlöser automatiseringar baserat på uppdateringar av utvärderingar av regelefterlevnad.

    Anteckning

    Om du använder den äldre utlösaren "När ett svar på en Azure Security Center-avisering utlöses" startas inte logikapparna av funktionen Arbetsflödesautomation. Använd i stället någon av de utlösare som nämns ovan.

    Exempel på logikapp.

  6. När du har definierat logikappen går du tillbaka till definitionsfönstret för arbetsflödesautomation ("Lägg till arbetsflödesautomation"). Klicka på Uppdatera för att se till att din nya logikapp är tillgänglig för val.

    Uppdatera.

  7. Välj din logikapp och spara automatiseringen. Observera att listrutan Logikapp endast visar Logic Apps med stöd för Security Center som nämns ovan.

Utlösa en logikapp manuellt

Du kan också köra Logic Apps manuellt när du visar en säkerhetsavisering eller rekommendation.

Om du vill köra en logikapp manuellt öppnar du en avisering eller en rekommendation och klickar på Trigger Logic App (Utlösa logikapp):

Utlösa en logikapp manuellt.

Konfigurera arbetsflödesautomation i stor skala med hjälp av de angivna principerna

Att automatisera organisationens processer för övervakning och incidenter kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.

Om du vill distribuera dina automatiseringskonfigurationer i organisationen använder du de Azure Policy "DeployIfNotExist"-principer som beskrivs nedan för att skapa och konfigurera arbetsflödesautomatiseringsprocedurer.

Kom igång med mallar för automatisering av arbetsflöden.

Så här implementerar du dessa principer:

  1. I tabellen nedan väljer du den princip som du vill tillämpa:

    Mål Policy Princip-ID
    Arbetsflödesautomation för säkerhetsaviseringar Distribuera arbetsflödesautomation för Azure Security Center-aviseringar f1525828-9a90-4fcf-be48-268cdd02361e
    Arbetsflödesautomation för säkerhetsrekommendationer Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer 73d6ab6c-2475-4850-afd6-43795f3492ef
    Arbetsflödesautomation för ändringar av regelefterlevnad Distribuera Arbetsflödesautomation för Azure Security Center regelefterlevnad 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Tips

    Du kan också hitta dessa genom att söka Azure Policy:

    1. Öppna Azure Policy. Åtkomst till Azure Policy.
    2. På Azure Policy väljer du Definitioner och söker efter dem efter namn.
  2. Från relevant Azure Policy väljer du Tilldela. Tilldela Azure Policy.

  3. Öppna varje flik och ange parametrarna som du vill:

    1. fliken Grundläggande anger du omfånget för principen. Om du vill använda centraliserad hantering tilldelar du principen till den hanteringsgrupp som innehåller de prenumerationer som ska använda arbetsflödesautomatiseringskonfigurationen.

    2. På fliken Parametrar anger du information om resursgrupp och datatyp.

      Tips

      Varje parameter har en knappbeskrivning som förklarar de alternativ som är tillgängliga för dig.

      Azure Policy parametrar (1) ger åtkomst till liknande konfigurationsalternativ som Security Center arbetsflödesautomatiseringssida (2). Jämföra parametrarna i arbetsflödesautomation med Azure Policy.

    3. Om du vill tillämpa den här tilldelningen på befintliga prenumerationer öppnar du fliken Reparation och väljer alternativet för att skapa en reparationsuppgift.

  4. Granska sammanfattningssidan och välj Skapa.

Scheman för datatyper

Om du vill visa råhändelsescheman för säkerhetsaviseringar eller rekommendationer som skickas till Logikappinstansen går du till schemana för datatyper för arbetsflödesautomation. Detta kan vara användbart i fall där du inte använder Security Center:s inbyggda Logic App-anslutningsappar som nämns ovan, men i stället använder Logic App:s allmänna HTTP-anslutningsapp – du kan använda händelse-JSON-schemat för att parsa det manuellt som du vill.

Vanliga frågor och svar – Arbetsflödesautomation

Stöder arbetsflödesautomation några BCDR-scenarier (affärskontinuisering eller haveriberedskap)?

När du förbereder din miljö för BCDR-scenarier, där målresursen drabbas av avbrott eller andra haverier, är det organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics-arbetsytan och logikappen.

För varje aktiv automatisering rekommenderar vi att du skapar en identisk (inaktiverad) automatisering och lagrar den på en annan plats. Vid ett avbrott kan du aktivera dessa automatiseringar för säkerhetskopiering och underhålla normal drift.

Läs mer om affärskontinui och haveriberedskap för Azure Logic Apps.

Nästa steg

I den här artikeln har du lärt dig att Logic Apps, automatisera körningen i Security Center och köra dem manuellt.

För relaterat material, se: