編輯

自動化補救回應

  • 操作方式

所有安全性程式皆包含事件回應的多個工作流程。 這些程序可能包括通知相關利害關係人、啟動變更管理流程,以及套用特定的補救步驟。 安全性專家建議盡可能多將這些程序的步驟自動化。 自動減少額外負荷。 這能透過確保流程步驟依照預先定義的要求且快速、恆定地完成,改進安全性。

本文說明適用於雲端的 Microsoft Defender 工作流程自動化功能。 此功能可在安全性警示、建議和法規合規性變更時觸發取用邏輯應用程式。 例如,警示發生時,您可能會希望適用於雲端的 Defender 寄送電子郵件給特定使用者。 您也將了解如何使用 Azure Logic Apps 建立邏輯應用程式。

必要條件

在開始之前:

  • 您需要資源群組上的安全性系統管理員角色擁有者

  • 您也必須具備目標資源的寫入權限。

  • 若要使用 Azure Logic Apps 工作流程,您必須也具備下列邏輯應用程式的角色/權限:

  • 如果您要使用邏輯應用程式連接器,您可能需要其他認證才能登入其各自的服務 (例如您的 Outlook/Teams/Slack 執行個體)。

建立邏輯應用程式並定義何時應該自動執行

執行下列步驟:

  1. 從適用於雲端的 Defender 側邊欄中,選取 [工作流程自動化]

    顯示已定義自動化清單的工作流程自動化頁面螢幕快照。

  2. 在此頁面,建立新的自動化規則,啟用、停用或刪除現有的規則。 範圍是指部署工作流程自動化的訂用帳戶。

  3. 若要定義新的工作流程,請選取 [新增工作流程自動化]。 隨即開啟新自動化的選項窗格。

    新增工作流程自動化窗格。

  4. 輸入下列內容:

    • 自動化的名稱和描述。

    • 起始此自動工作流程的觸發程序。 例如,您可能會希望邏輯應用程式在產生包含 "SQL" 的安全性警示時執行。

      如果您的觸發程序是具有「子建議」的建議,例如 應補救您 SQL 資料庫的弱點評量結果,則邏輯應用程式不會針對每個新的安全性結果進行觸發;只會在父建議的狀態變更時觸發。

  5. 指定符合觸發條件時執行的取用邏輯應用程式。

  6. 從 [動作] 區段中,選取 [前往邏輯應用程式頁面],開始邏輯應用程式的建立程序。

    此螢幕快照顯示 [新增工作流程自動化] 畫面的 [動作] 區段,以及流覽 Azure Logic Apps 的連結。

    您將前往 Azure Logic Apps。

  7. 選取 [(+) 新增]

    用來建立邏輯應用程式的螢幕快照。

  8. 填寫所有必要欄位,然後選取 [檢閱 + 建立]

    隨即出現 [正在進行部署] 訊息。 請等候部署完成通知的出現,然後從通知中選取 [前往資源]

  9. 檢閱您輸入的資訊,然後選取 [建立]

    在新的邏輯應用程式,您可透過 [安全性] 類別選擇 [內建] 和 [預先定義] 範本。 您也可定義觸發流程後,發生的自訂事件流程。

    提示

    有時候在邏輯應用程式中,參數會包含在連接器中做為字串的一部分,而不是包含在自己的欄位中。 如需如何擷取參數的範例,請參閱建立適用於雲端的 Microsoft Defender 工作流程自動化時使用邏輯應用程式參數一文中的步驟 14。

支援的觸發程式

邏輯應用程式設計工具支援下列適用於雲端的 Defender 觸發程序:

  • 建立或觸發適用於雲端的 Microsoft Defender 建議時 - 如果邏輯應用程式依賴的建議已淘汰或遭取代,則自動化會停止運作,而且您必須更新觸發程序。 若要追蹤建議的變更,請利用版本資訊

  • 建立或觸發適用於雲端的 Defender 警示時 - 您可以自訂觸發程序,使觸發程序僅與您感興趣的嚴重性層級警示相關。

  • 建立或觸發適用於雲端的 Defender 法規合規性評量時 - 根據法規合規性評量的更新觸發自動化。

注意

如果您使用舊版觸發程序「當觸發適用於雲端的 Microsoft Defender 警示的回應時」,工作流程自動化功能不會啟動您的邏輯應用程式。 請改用上述任一觸發程序。

  1. 定義邏輯應用程式後,請返回工作流程自動化定義窗格 ([新增工作流程自動化])。

  2. 選取 [重新整理] 確定新的邏輯應用程式可供選取。

  3. 選取邏輯應用程式,並儲存自動化。 [邏輯應用程式] 下拉式清單僅顯示支援上述適用於雲端的 Defender 連接器的邏輯應用程式。

手動觸發邏輯應用程式

檢視任何安全性警示或建議時,您也可以手動執行邏輯應用程式。

若要手動執行邏輯應用程式,請開啟警示或建議,然後選取 [觸發邏輯應用程式]

手動觸發邏輯應用程式。

大規模設定工作流程自動化

自動化組織的監視和事件回應程程序,可大幅改善調查和緩解安全性事件所需的時間。

若要在整個組織中部署自動化設定,請使用以下所述的 Azure 原則 'DeployIfNotExist' 原則,建立和設定工作流程自動化程序。

開始使用工作流程自動化範本

若要實作這些原則:

  1. 從下表中,選取您想要套用的原則:

    Goal 原則 原則識別碼
    安全性警示的工作流程自動化 針對適用於雲端的 Microsoft Defender 警示來部署工作流程自動化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全性建議的工作流程自動化 針對適用於雲端的 Microsoft Defender 建議來部署工作流程自動化 73d6ab6c-2475-4850-afd6-43795f3492ef
    法規合規性變更的工作流程自動化 針對適用於雲端的 Microsoft Defender 法規合規性部署工作流程自動化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    您也可以搜尋 Azure 原則來尋找這些項目。 在 [Azure 原則] 中,選取 [定義],然後依名稱搜尋這些定義。

  2. 從相關的 [Azure 原則] 頁面中,選取 [指派]指派 Azure 原則。

  3. 在 [基本] 索引標籤中,設定原則的範圍。 若要使用集中式管理,請將原則指派給管理群組,其中包含將使用工作流程自動化設定的訂用帳戶。

  4. 在 [參數] 索引標籤上,輸入必要資訊。

    [參數] 索引標籤的螢幕快照。

  5. 選擇性地在 [補救] 索引標籤中,將此指派套用至現有訂用帳戶,然後選取要建立補救工作的選項。

  6. 檢閱 [摘要] 頁面,然後選取 [建立]

    資料類型結構描述

    若要檢視傳遞至邏輯應用程式的安全性警示或建議事件的原始事件結構描述,請前往工作流程自動化資料類型結構描述。 這非常適合您未使用上述適用於雲端的 Defender 內建邏輯應用程式連接器,而是改用一般 HTTP 連接器的情形,您可以使用事件 JSON 結構描述來視需要進行手動剖析。

相關內容