你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

自动响应 Microsoft Defender for Cloud 触发器

  • 项目

每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程,以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销, 还可确保根据你预定义的要求快速、一致地执行处理步骤,从而增强安全性。

本文介绍 Microsoft Defender for Cloud 的工作流自动化功能。 此功能可根据安全警报、建议和监管合规性触发逻辑应用。 例如,你可能希望 Defender for Cloud 在发生警报时向特定用户发送电子邮件。 你还将了解如何使用 Azure 逻辑应用创建逻辑应用。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
所需角色和权限: 资源组上的安全管理员角色或所有者角色
还必须具有对目标资源的写入权限

若要使用 Azure 逻辑应用工作流,还必须具有以下逻辑应用角色/权限:
逻辑应用读取/触发访问需要- 逻辑应用操作员权限(此角色无法创建或编辑逻辑应用,仅可运行现有应用)
创建和修改逻辑应用需要- 逻辑应用参与者权限
如果要使用逻辑应用连接器,可能需要使用额外的凭据登录到各自的服务(例如 Outlook/Teams/Slack 实例)
云: 商用云
国家(Azure 政府、Azure 中国世纪互联)

创建一个逻辑应用,并定义它应自动运行的时间

  1. 在 Defender for Cloud 的边栏中,选择“工作流自动化”。

    工作流自动化页面的屏幕截图,显示了已定义的自动化的列表。

    在此页上,你可创建新的自动化规则,以及启用、禁用或删除现有规则。

  2. 若要定义新工作流,请选择“添加工作流自动化”。 此时会打开新自动化的选项窗格。

    添加工作流自动化窗格。

    可在此处输入:

    1. 自动化的名称和说明。

    2. 将启动此自动工作流的触发器。 例如,你可能希望在生成包含“SQL”的安全警报时运行逻辑应用。

      注意

      如果触发器是包含“子建议”(例如“应修正关于 SQL 数据库的漏洞评估结果”)的建议,逻辑应用不会针对每个新的安全发现触发,仅当父建议的状态发生更改时才会触发。

    3. 满足触发条件时将运行的逻辑应用。

  3. 在“操作”部分,选择“访问逻辑应用页”开始逻辑应用创建过程。

    该屏幕截图显示需要在“添加工作流自动化”屏幕的“操作”部分中选择访问逻辑应用页的屏幕位置。

    你将转到 Azure 逻辑应用。

  4. 选择“(+)添加”。

    “创建逻辑应用”屏幕的屏幕截图。

  5. 填写所有必填字段,然后选择“查看 + 创建”。

    此时会显示消息“部署正在进行”。 等待部署完成通知出现,然后从通知中选择“转到资源”。

  6. 查看输入的信息,然后选择“创建”。

    在新的逻辑应用中,可从安全类别中选择内置的预定义模板。 也可定义在触发此进程时要发生的自定义事件流。

    提示

    有时在逻辑应用中,参数作为字符串的一部分包含在连接器中,而不是包含在自己的字段中。 有关如何提取参数的示例,请参阅在构建 Microsoft Defender for Cloud 工作流自动化时使用逻辑应用参数中的步骤 #14。

    逻辑应用设计器支持以下 Defender for Cloud 触发器:

    • 创建或触发 Microsoft Defender for Cloud 建议时 - 如果逻辑应用依赖已弃用或已替代的建议,自动化将停止工作,你需要更新触发器。 若要跟踪对建议的更改,请查看发行说明

    • 创建或触发 Defender for Cloud 警报时 - 可以自定义触发器,使其仅与你所关注的严重性级别的警报相关。

    • 创建或触发 Defender for Cloud 合规性评估时 - 根据合规性评估的更新触发自动化。

    注意

    如果要使用旧触发器“触发对 Microsoft Defender for Cloud 警报的响应时”,工作流自动化功能将不会启动逻辑应用。 请改用上述的任一触发器。

    示例逻辑应用。

  7. 定义逻辑应用后,回到工作流自动化定义窗格(“添加工作流自动化”)。 选择“刷新”以确保可选择新的逻辑应用。

    “刷新”。

  8. 选择逻辑应用并保存自动化。 “逻辑应用”下拉列表仅显示支持上述 Defender for Cloud 连接器的逻辑应用。

手动触发逻辑应用

查看任何安全警报或建议时,还可手动运行逻辑应用。

若要手动运行逻辑应用,请打开警报或建议,然后选择“触发逻辑应用”:

手动触发逻辑应用。

使用提供的策略大规模配置工作流自动化

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

若要在整个组织中部署自动化配置,请使用提供的 Azure Policy“DeployIfNotExist”策略(如下所述)来创建和配置工作流自动化过程。

开始使用工作流自动化模板

实施这些策略:

  1. 从下表中选择要应用的策略:

    目标 策略 策略 ID
    安全警报的工作流自动化 为 Microsoft Defender for Cloud 警报部署工作流自动化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全建议的工作流自动化 为 Microsoft Defender for Cloud 建议部署工作流自动化 73d6ab6c-2475-4850-afd6-43795f3492ef
    用于法规合规性的工作流自动化发生更改 为 Microsoft Defender for Cloud 合规性部署工作流自动化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    提示

    还可通过搜索 Azure Policy 来找到这些策略:

    1. 打开 Azure Policy。 访问 Azure Policy。
    2. 在 Azure Policy 菜单中,选择“定义”并按名称进行搜索。

  2. 在相关的 Azure Policy 页中,选择“分配”。 分配 Azure Policy。

  3. 打开每个选项卡,并根据需要设置参数:

    1. 在“基础信息”选项卡中,设置策略的范围。 若要使用集中式管理,请将策略分配给包含将使用工作流自动化配置的订阅的管理组。
    2. 在“参数”选项卡中输入所需的信息。

    “参数”选项卡的屏幕截图。

    1. (可选)将此分配应用于“修正”选项卡中的现有订阅,然后选择用于创建修正任务的选项。

  4. 查看“摘要”页,并选择“创建”。

数据类型架构

若要查看传递到逻辑应用实例的安全警报或建议事件的原始事件架构,请访问工作流自动化数据类型架构。 如果你未使用 Defender for Cloud 的上述内置逻辑应用连接器,而是使用逻辑应用的通用 HTTP 连接器,则此功能非常有用,则可使用事件 JSON 架构以合适的方式手动分析它。

常见问题解答 - 工作流自动化

工作流自动化是否支持任何业务连续性或灾难恢复 (BCDR) 场景?

针对目标资源正遇到故障或其他灾难的 BCDR 场景准备环境时,组织应负责根据 Azure 事件中心、Log Analytics 工作区和逻辑应用中的指南建立备份,防止数据丢失。

对于处于活动状态的每个自动化,建议创建相同(禁用)的自动化,并将其存储在其他位置。 发生中断时,可以启用这些备份自动化并维护正常操作。

详细了解 Azure 逻辑应用的业务连续性和灾难恢复

后续步骤

在本文中,你已了解如何创建逻辑应用、在 Defender for Cloud 中自动执行这些逻辑应用,以及如何手动运行。

如需查看相关材料,请参阅: