Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут включать уведомление соответствующих заинтересованных лиц, запуск процесса управления изменениями и применение конкретных действий по исправлению.
Эксперты по безопасности рекомендуют автоматизировать как можно больше действий по обеспечению безопасности. Автоматизация снижает затраты. Это также может повысить безопасность, убедив, что шаги процесса выполняются быстро, последовательно и в соответствии с вашими предопределенными требованиями.
В этой статье описывается функция автоматизации рабочих процессов Microsoft Defender для Облака. Эта функция может активировать приложения логики потребления для оповещений системы безопасности, рекомендаций и изменений соответствия нормативным требованиям. Например, вам может потребоваться, чтобы Defender для облака отправлял определенному пользователю сообщение электронной почты при активации оповещения. Вы также узнаете, как создавать приложения логики с помощью Azure Logic Apps.
Предпосылки
Перед началом:
Необходимо иметь роль администратора безопасности или владельца в группе ресурсов.
У вас должны быть разрешения на запись целевого ресурса.
Для работы с рабочими процессами Azure Logic Apps необходимо иметь следующие роли или разрешения Logic Apps:
- Требуются разрешения оператора приложения логики или доступ на чтение либо активацию приложения логики. Пользователи с этой ролью не могут создавать или изменять приложения логики. Они могут запускать только существующие.
- Разрешения соавтора Logic App необходимы для создания и изменения логического приложения.
Если вы хотите использовать соединители Logic Apps, вам могут потребоваться другие учетные данные для входа в соответствующие службы (например, ваши аккаунты Outlook, Teams или Slack).
Создание приложения логики и определение времени его автоматического запуска
Выполните следующие действия:
На боковой панели Defender для облака выберите автоматизацию рабочих процессов.
На этой странице можно создать новые правила автоматизации или включить, отключить или удалить существующие. Область действия относится к подписке, в рамках которой развертывается автоматизация рабочих процессов.
Чтобы определить новый рабочий процесс, выберите "Добавить автоматизацию рабочих процессов". Откроется область параметров для новой автоматизации.
Введите следующее:
- Имя и описание процесса автоматизации.
- Триггеры, инициирующие этот автоматический рабочий процесс. Например, вы можете захотеть, чтобы ваше приложение логики запускалось при возникновении оповещения безопасности, содержащего фразу SQL.
Укажите приложение логики потребления, которое будет выполняться при выполнении условий триггера.
В разделе "Действия" выберите страницу Logic Apps , чтобы начать процесс создания приложения логики.
Вы перейдете в Azure Logic Apps.
Выберите (+) Добавить.
Заполните все обязательные поля и нажмите кнопку "Проверить и создать".
Идёт процесс развертывания. Подождите, пока появится уведомление о завершении развертывания, а затем выберите Перейти к ресурсу.
Просмотрите введенные сведения и нажмите кнопку "Создать".
В новом приложении логики можно выбрать встроенные предопределенные шаблоны из категории безопасности. Кроме того, можно определить пользовательский поток событий, происходящих при активации этого процесса.
Подсказка
Иногда параметры включаются в приложение логики в соединителе как часть строки, а не в собственном поле. Пример извлечения параметров см. в шаге 14 о работе с параметрами приложения логики при создании автоматизации рабочих процессов Microsoft Defender для облака.
Поддерживаемые триггеры
Конструктор приложений логики поддерживает следующие триггеры Defender для облака:
При создании или активации рекомендации Microsoft Defender для облака: если приложение логики использует рекомендацию, которая устарела или заменена, автоматизация перестает работать и необходимо обновить триггер. Чтобы отслеживать изменения рекомендаций, используйте заметки о выпуске.
При создании или активации оповещений Defender для облака можно настроить триггер таким образом, чтобы он был связан только с оповещениями с интересующими вас уровнями серьезности.
При создании или активации оценки соответствия нормативным требованиям Defender для Облака необходимо активировать автоматизацию на основе обновлений оценок соответствия нормативным требованиям.
Замечание
Если вы используете устаревший триггер при активации ответа на оповещение Microsoft Defender для облака, функция автоматизации рабочих процессов не открывает приложения логики. Вместо этого используйте любой из упомянутых выше триггеров.
После определения приложения логики вернитесь в область "Добавление автоматизации рабочих процессов ".
Выберите "Обновить", чтобы убедиться, что новое приложение логики доступно для выбора.
Выберите приложение логики и сохраните автоматизацию. В раскрывающемся меню отображаются только приложения логики, поддерживающие соединители Defender для облака.
Запуск приложения логики вручную
Вы также можете вручную запускать приложения логики при просмотре любых оповещений или рекомендаций системы безопасности.
Чтобы вручную запустить приложение логики, откройте оповещение или рекомендацию, а затем выберите "Активировать приложение логики".
Настройка автоматизации рабочих процессов в масштабе
При автоматизации процессов мониторинга и реагирования на инциденты организации время, необходимое для расследования и устранения инцидентов безопасности, может значительно улучшиться.
Чтобы развернуть конфигурации автоматизации в организации, используйте предоставленные политики политики DeployIfNotExist Azure (упомянутые далее) для создания и настройки процедур автоматизации рабочих процессов.
Начало работы с шаблонами автоматизации рабочих процессов.
Чтобы реализовать эти политики, выполните следующие действия.
В следующей таблице выберите политику, которую вы хотите применить:
Цель Policy ИД политики Автоматизация рабочих процессов для оповещений системы безопасности Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака f1525828-9a90-4fcf-be48-268cdd02361e Автоматизация рабочих процессов для рекомендаций системы безопасности Рекомендации по развертыванию автоматизации рабочих процессов для получения рекомендаций из Microsoft Defender для облака 73d6ab6c-2475-4850-afd6-43795f3492ef Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям Развертывание автоматизации рабочих процессов для обеспечения соответствия требованиям из Microsoft Defender для облака 509122b9-ddd9-47ba-a5f1-d0dac20be63c Вы также можете найти политики, выполнив поиск в политике Azure. В политике Azure выберите определения и найдите их по имени.
На соответствующей странице политики Azure нажмите кнопку "Назначить".
На вкладке "Основные сведения" задайте область политики. Чтобы использовать централизованное управление, назначьте политику группе управления , содержащей подписки, использующие конфигурацию автоматизации рабочих процессов.
На вкладке "Параметры" введите необходимые сведения.
(Необязательно) Примените это назначение к существующей подписке на вкладке "Исправление ", а затем выберите параметр для создания задачи исправления.
Просмотрите страницу сводки и нажмите кнопку "Создать".
Схемы типов данных
Чтобы просмотреть необработанные схемы событий оповещений системы безопасности или рекомендаций, передаваемых приложению логики, перейдите к схемам типов данных для автоматизации рабочих процессов. Этот процесс может оказаться полезным в тех случаях, когда вы не используете соединители Defender для Облака, встроенные в Logic Apps (упомянутые ранее), но вместо этого используют универсальный соединитель HTTP. Схему JSON события можно использовать, чтобы вручную проанализировать её, как вам удобно.