自動回應安全性中心觸發程式

每個安全性程式都包含事件回應的多個工作流程。 這些流程可能包括通知相關的專案利害關係人、啟動變更管理程式,以及套用特定的補救步驟。 安全性專家建議您盡可能自動化這些程式的許多步驟。 自動減少額外負荷。 這能透過確保流程步驟依照預先定義的要求且快速、恆定地完成,改進安全性。

本文描述 Azure 資訊安全中心的工作流程自動化功能。 這項功能可觸發安全性警示、建議和合規性變更的 Logic Apps。 例如,警示發生時,或許您會希望資訊安全中心寄送電子郵件給特定的使用者。 您也將瞭解如何使用Azure Logic Apps來建立 Logic Apps。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 免費
必要的角色和權限: 資源群組的 安全性系統管理員角色擁有
也必須具有目標資源的寫入權限

若要使用 Azure Logic Apps 工作流程,您也必須具有下列 Logic Apps 角色/許可權:
- 邏輯應用程式操作員 許可權是必要的或邏輯應用程式讀取/觸發存取 (此角色無法建立或編輯邏輯應用程式;只 執行 現有的)
- 邏輯應用程式建立和修改需要邏輯應用程式參與者許可權
如果您想要使用邏輯應用程式連接器,您可能需要額外的認證來登入其各自的服務 (例如,您的 Outlook/Teams/Slack 實例)
雲端: 商業雲端
全國/主權 (Azure Government、Azure 中國世紀)

建立邏輯應用程式並定義自動執行的時機

  1. 從 [安全性中心] 提要欄位,選取 [ 工作流程自動化]。

    工作流程自動化的清單。

    從這個頁面,您可以建立新的自動化規則,以及啟用、停用或刪除現有的規則。

  2. 若要定義新的工作流程,請按一下 [ 新增工作流程自動化]。

    窗格會顯示新的自動化選項。 您可在此輸入:

    1. 自動化的名稱和描述。

    2. 起始此自動工作流程的觸發程序。 例如,包含「SQL」的安全性警示產生時,或許您會希望執行邏輯應用程式。

      注意

      如果您的觸發程式是具有「子建議」的建議,例如 應該補救您 SQL 資料庫上的弱點評定結果,則邏輯應用程式不會針對每個新的安全性尋找觸發程式;只有在父建議的狀態變更時才會變更。

    3. 符合觸發條件時,邏輯應用程式即會執行。

      [新增工作流程自動化] 窗格。

  3. 從 [動作] 區段中,按一下 [ 建立新 的] 以開始建立邏輯應用程式。

    您將前往 Azure Logic Apps。

    建立新的邏輯應用程式。

  4. 輸入名稱、資源群組和位置,然後按一下 [ 建立]。

  5. 在新的邏輯應用程式,您可透過 [安全性] 類別選擇 [內建] 和 [預先定義] 範本。 您也可定義觸發流程後,發生的自訂事件流程。

    提示

    有時候,在邏輯應用程式中,參數會包含在連接器中做為字串的一部分,而不會包含在其本身的欄位中。 如需如何解壓縮參數的範例,請參閱 建立 Azure 資訊安全中心工作流程自動化時使用邏輯應用程式參數的步驟 #14。

    邏輯應用程式設計工具支援下列安全性中心觸發程式:

    • 建立或觸發 Azure 資訊安全中心建議時 -如果您的邏輯應用程式依賴已淘汰或已取代的建議,則您的自動化將會停止運作,而您將需要更新觸發程式。 若要追蹤建議的變更,請參閱 Azure 資訊安全中心版本資訊。

    • 當 Azure 資訊安全中心警示建立或觸發時 ,您可以自訂觸發程式,使其只與您感興趣的嚴重性層級的警示相關聯。

    • 建立或觸發資訊安全中心法規合規性評估時,會 根據法規合規性評估的更新觸發自動化。

    注意

    如果您使用的是舊版觸發程式「當觸發 Azure 資訊安全中心警示的回應」時,您的邏輯應用程式將不會由工作流程自動化功能啟動。 相反地,請使用上述任一觸發程式。

    範例邏輯應用程式。

  6. 定義邏輯應用程式後,請返回工作流程自動化定義窗格 ([新增工作流程自動化])。 按一下 [ 重新整理] 以確保您的新邏輯應用程式可供選取。

    重新整理。

  7. 選取邏輯應用程式,並儲存自動化。 請注意,[邏輯應用程式] 下拉式清單只會顯示 Logic Apps 上面所述的支援安全中心連接器。

手動觸發邏輯應用程式

檢視安全性警示或建議時,也可手動執行 Logic Apps。

若要手動執行邏輯應用程式,請開啟警示或建議,然後按一下 [ 觸發邏輯應用程式

手動觸發邏輯應用程式。

使用提供的原則大規模設定工作流程自動化

自動化組織的監視和事件回應程程序,可大幅改善調查和緩解安全性事件所需的時間。

若要在組織中部署自動化設定,請使用下列所述的 Azure 原則 ' DeployIfNotExist ' 原則來建立和設定工作流程自動化程式。

開始使用工作流程自動化範本

若要執行這些原則:

  1. 從下表中,選取您要套用的原則:

    目標 原則 原則識別碼
    安全性警示的工作流程自動化 為 Azure 資訊安全中心警示部署工作流程自動化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全性建議的工作流程自動化 為 Azure 資訊安全中心建議部署工作流程自動化 73d6ab6c-2475-4850-afd6-43795f3492ef
    符合法規合規性變更的工作流程自動化 部署 Azure 資訊安全中心法規合規性的工作流程自動化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    提示

    您也可以藉由搜尋 Azure 原則來找到這些內容:

    1. 開啟 Azure 原則。 存取 Azure 原則。
    2. 在 [Azure 原則] 功能表中,選取 [ 定義 ] 並依名稱搜尋。
  2. 從相關的 Azure 原則] 頁面中,選取 [ 指派]。 指派 Azure 原則。

  3. 開啟每個索引標籤,並視需要設定參數:

    1. 在 [ 基本 ] 索引標籤中,設定原則的範圍。 若要使用集中式管理,請將原則指派給包含要使用工作流程自動化設定之訂用帳戶的管理群組。

    2. 在 [ 參數 ] 索引標籤中,設定資源群組和資料類型的詳細資料。

      提示

      每個參數都有工具提示,說明您可以使用的選項。

      Azure 原則的 [參數] 索引標籤 (1) 可存取與安全性中心的工作流程自動化頁面 (2) 類似的設定選項。 比較工作流程自動化中的參數與 Azure 原則。

    3. (選擇性)若要將此指派套用至現有的訂用帳戶,請開啟 [ 補救 ] 索引標籤,然後選取建立補救工作的選項。

  4. 查看 [摘要] 頁面,然後選取 [ 建立]。

資料類型架構

若要查看傳遞給邏輯應用程式實例之安全性警示或建議事件的原始事件架構,請造訪 工作流程自動化資料類型架構。 如果您未使用上述的「安全性中心」內建邏輯應用程式連接器,但改為使用邏輯應用程式的一般 HTTP 連接器,這項功能就很有用。您可以使用事件 JSON 架構,視需要手動進行剖析。

常見問題-工作流程自動化

工作流程自動化是否支援任何商務持續性或嚴重損壞修復 (BCDR) 案例?

針對目標資源發生中斷或其他嚴重損壞的 BCDR 案例準備您的環境時,組織會負責根據 Azure 事件中樞、Log Analytics 工作區和邏輯應用程式的指導方針建立備份,以防止資料遺失。

針對每個使用中的自動化,建議您建立完全相同的 () 自動化,並將其儲存在不同的位置。 當發生中斷時,您可以啟用這些備份自動化,並維持一般作業。

深入瞭解Azure Logic Apps 的商務持續性和嚴重損壞修復。

後續步驟

在本文中,您已瞭解如何建立 Logic Apps、在資訊安全中心自動執行,以及手動執行它們。

如需相關內容,請參閱: