Düzenle

Aracılığıyla paylaş


Düzeltme yanıtlarını otomatikleştirme

Her güvenlik programında olay yanıtına yönelik birden çok iş akışı vardır. Bu işlemler arasında ilgili paydaşları bilgilendirme, değişiklik yönetimi süreci başlatma ve belirli iyileştirme adımlarını uygulama yer alıyor olabilir. Güvenlik uzmanları, bu yordamların mümkün olan en çok sayıda adımını otomatikleştirmenizi önerir. Otomasyon ek yükü azaltır. Ayrıca, işlem adımlarının hızlı, tutarlı ve önceden tanımlanmış gereksinimlerinize göre yapılmasını sağlayarak güvenliğinizi artırabilir.

Bu makalede, Bulut için Microsoft Defender iş akışı otomasyonu özelliği açıklanmaktadır. Bu özellik güvenlik uyarılarında, önerilerde ve mevzuat uyumluluğunda yapılan değişikliklerde tüketim mantığı uygulamalarını tetikleyebilir. Örneğin, bir uyarı oluştuğunda belirli bir kullanıcıya e-posta göndermek Bulut için Defender isteyebilirsiniz. Ayrıca Azure Logic Apps kullanarak mantıksal uygulamalar oluşturmayı da öğreneceksiniz.

Önkoşullar

Başlamadan önce:

  • Kaynak grubunda Güvenlik yöneticisi rolüne veya Sahip'e ihtiyacınız vardır.

  • Hedef kaynak için yazma izinlerine de sahip olmanız gerekir.

  • Azure Logic Apps iş akışlarıyla çalışmak için aşağıdaki Logic Apps rollerine/izinlerine de sahip olmanız gerekir:

  • Logic Apps bağlayıcılarını kullanmak istiyorsanız, ilgili hizmetlerde (örneğin, Outlook/Teams/Slack örnekleriniz) oturum açmak için başka kimlik bilgilerine ihtiyacınız olabilir.

Mantıksal uygulama oluşturma ve otomatik olarak ne zaman çalıştırılacağını tanımlama

Şu adımları izleyin:

  1. Bulut için Defender kenar çubuğunda İş akışı otomasyonu'nun seçin.

    Tanımlı otomasyonların listesini gösteren iş akışı otomasyonu sayfasının ekran görüntüsü.

  2. Bu sayfada yeni otomasyon kuralları oluşturun, mevcut kuralları etkinleştirin, devre dışı bırakın veya silin. Kapsam, iş akışı otomasyonunun dağıtıldığı aboneliği ifade eder.

  3. Yeni iş akışı tanımlamak için İş akışı otomasyonu ekle'yi seçin. Yeni otomasyonunuzun seçenekler bölmesi açılır.

    İş akışı otomasyonları bölmesi ekleyin.

  4. Aşağıdakileri girin:

    • Otomasyon için bir ad ve açıklama.

    • Bu otomatik iş akışını başlatacak tetikleyiciler. Örneğin, mantıksal uygulamanızın "SQL" içeren bir güvenlik uyarısı oluşturulduğunda çalışmasını isteyebilirsiniz.

      Tetikleyiciniz "alt öneriler" içeren bir öneriyse( örneğin SQL veritabanlarınızdaki güvenlik açığı değerlendirmesi bulguları düzeltilmelidir), mantıksal uygulama her yeni güvenlik bulgusu için tetiklenmez; yalnızca üst önerinin durumu değiştiğinde tetiklenmez.

  5. Tetikleyici koşullarınız karşılandığında çalıştırılacak tüketim mantığı uygulamasını belirtin.

  6. Mantıksal uygulama oluşturma işlemine başlamak için Eylemler bölümünden Logic Apps sayfasını ziyaret edin'i seçin.

    İş akışı otomasyonu ekleme ekranının eylemler bölümünü ve Azure Logic Apps'i ziyaret etme bağlantısını gösteren ekran görüntüsü.

    Azure Logic Apps'e yönlendirilirsiniz.

  7. (+) Ekle'yi seçin.

    Mantıksal uygulamanın nerede oluşturulacağının ekran görüntüsü.

  8. Tüm gerekli alanları doldurun ve Gözden Geçir + Oluştur'u seçin.

    Dağıtım devam ediyor iletisi görüntülenir. Dağıtım tam bildiriminin görünmesini bekleyin ve bildirimden Kaynağa git'i seçin.

  9. Girdiğiniz bilgileri gözden geçirin ve Oluştur'u seçin.

    Yeni mantıksal uygulamanızda, güvenlik kategorisindeki yerleşik, önceden tanımlanmış şablonlar arasından seçim yapabilirsiniz. Veya bu işlem tetiklendiğinde gerçekleşecek özel bir olay akışı tanımlayabilirsiniz.

    İpucu

    Bazen mantıksal uygulamada parametreler kendi alanlarında değil, bir dizenin parçası olarak bağlayıcıya eklenir. Parametreleri ayıklama örneği için, Bulut için Microsoft Defender iş akışı otomasyonları oluştururken mantıksal uygulama parametreleriyle çalışma adım 14'e bakın.

Desteklenen tetikleyiciler

Mantıksal uygulama tasarımcısı aşağıdaki Bulut için Defender tetikleyicilerini destekler:

  • bir Bulut için Microsoft Defender Önerisi oluşturulduğunda veya tetiklendiğinde - Mantıksal uygulamanız kullanım dışı bırakılan veya değiştirilen bir öneriye dayanırsa, otomasyonunuz çalışmayı durdurur ve tetikleyiciyi güncelleştirmeniz gerekir. Önerilerdeki değişiklikleri izlemek için sürüm notlarını kullanın.

  • Bulut için Defender Uyarısı oluşturulduğunda veya tetiklendiğinde - Tetikleyiciyi yalnızca ilginizi çekebilecek önem derecelerine sahip uyarılarla ilişkilendirilmesi için özelleştirebilirsiniz.

  • Bulut için Defender mevzuat uyumluluğu değerlendirmesi oluşturulduğunda veya tetiklendiğinde - Mevzuat uyumluluğu değerlendirmelerine yönelik güncelleştirmeleri temel alan otomasyonları tetikler.

Not

Eski tetikleyiciyi kullanıyorsanız Bulut için Microsoft Defender uyarıya yanıt tetiklendiğinde, mantıksal uygulamalarınız İş Akışı Otomasyonu özelliği tarafından başlatılmaz. Bunun yerine, yukarıda belirtilen tetikleyicilerden birini kullanın.

  1. Mantıksal uygulamanızı tanımladıktan sonra iş akışı otomasyonu tanım bölmesine ("İş akışı otomasyonu ekle") dönün.

  2. Yeni mantıksal uygulamanızın seçilebilir olduğundan emin olmak için Yenile'yi seçin.

  3. Mantıksal uygulamanızı seçin ve otomasyonu kaydedin. Mantıksal uygulama açılan listesinde yalnızca yukarıda bahsedilen destekleyici Bulut için Defender bağlayıcıları olanlar gösterilir.

Mantıksal uygulamayı el ile tetikleme

Ayrıca herhangi bir güvenlik uyarı veya öneriyi görüntülerken mantıksal uygulamaları el ile de çalıştırabilirsiniz.

Mantıksal uygulamayı el ile çalıştırmak için bir uyarı veya öneri açın ve Mantıksal uygulamayı tetikle'yi seçin.

Mantıksal uygulamayı el ile tetikleme.

İş akışı otomasyonlarını büyük ölçekte yapılandırma

Kuruluşunuzun izleme ve olay yanıtı süreçlerini otomatikleştirmek, güvenlik olaylarını araştırmak ve azaltmak için gereken süreyi büyük ölçüde artırabilir.

Otomasyon yapılandırmalarınızı kuruluşunuz genelinde dağıtmak için, iş akışı otomasyonu yordamlarını oluşturmak ve yapılandırmak için aşağıda açıklanan 'DeployIfNotExist' ilkeleri Azure İlkesi kullanın.

İş akışı otomasyon şablonlarını kullanmaya başlayın.

Bu ilkeleri uygulamak için:

  1. Aşağıdaki tablodan uygulamak istediğiniz ilkeyi seçin:

    Goal İlke İlke Kimliği
    Güvenlik uyarıları için iş akışı otomasyonu Bulut için Microsoft Defender uyarıları için İş Akışı Otomasyonu dağıtma f1525828-9a90-4fcf-be48-268cdd02361e
    Güvenlik önerileri için iş akışı otomasyonu Bulut için Microsoft Defender önerileri için İş Akışı Otomasyonu dağıtma 73d6ab6c-2475-4850-afd6-43795f3492ef
    Mevzuat uyumluluğu değişiklikleri için iş akışı otomasyonu Bulut için Microsoft Defender mevzuat uyumluluğu için İş Akışı Otomasyonu dağıtma 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Bunları Azure İlkesi arayarak da bulabilirsiniz. Azure İlkesi Tanımlar'ı seçin ve adlarıyla arayın.

  2. İlgili Azure İlkesi sayfasında Ata'yı seçin. Azure İlkesi atanıyor.

  3. Temel Bilgiler sekmesinde, ilkenin kapsamını ayarlayın. Merkezi yönetimi kullanmak için, ilkeyi iş akışı otomasyonu yapılandırmasını kullanacak abonelikleri içeren Yönetim Grubuna atayın.

  4. Parametreler sekmesinde gerekli bilgileri girin.

    Parametreler sekmesinin ekran görüntüsü.

  5. İsteğe bağlı olarak bu atamayı Düzeltme sekmesinde mevcut bir aboneliğe uygulayın ve düzeltme görevi oluşturma seçeneğini belirleyin.

  6. Özet sayfasını gözden geçirin ve Oluştur'u seçin.

    Veri türleri şemaları

    Mantıksal uygulamaya geçirilen güvenlik uyarılarının veya öneri olaylarının ham olay şemalarını görüntülemek için İş akışı otomasyonu veri türleri şemalarını ziyaret edin. Bu, yukarıda bahsedilen Bulut için Defender yerleşik Logic Apps bağlayıcılarını kullanmadığınız ancak bunun yerine genel HTTP bağlayıcısını kullandığınız durumlarda yararlı olabilir. Olay JSON şemasını kullanarak uygun gördüğünüz şekilde el ile ayrıştırabilirsiniz.