Freigeben über

Automatisieren von Korrekturantworten

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Zu diesen Prozessen gehören möglicherweise die Benachrichtigung relevanter Projektbeteiligter, der Start eines Änderungsmanagementprozesses und die Anwendung spezifischer Korrekturschritte.

Sicherheitsexperten empfehlen, so viele Schritte von Sicherheitsverfahren wie möglich zu automatisieren. Die Automatisierung reduziert den Aufwand. Sie kann Auch Ihre Sicherheit verbessern, indem sichergestellt wird, dass Prozessschritte schnell, konsistent und entsprechend Ihren vordefinierten Anforderungen ausgeführt werden.

In diesem Artikel wird das Workflowautomatisierungs-Feature von Microsoft Defender für Cloud beschrieben. Dieses Feature kann Verbrauchslogik-Apps für Sicherheitswarnungen, Empfehlungen und Änderungen an der Einhaltung gesetzlicher Vorschriften auslösen. Beispielsweise können Sie festlegen, dass von Defender für Cloud eine E-Mail an einen bestimmten Benutzer gesendet wird, wenn eine Warnung auftritt. Außerdem erfahren Sie, wie Sie Logik-Apps mithilfe von Azure Logic Apps erstellen.

Voraussetzungen

Bevor Sie beginnen:

  • Sie müssen über die Rolle "Sicherheitsadministrator" oder "Besitzer" in der Ressourcengruppe verfügen.

  • Sie müssen über Schreibberechtigungen für die Zielressource verfügen.

  • Um mit Azure Logic Apps-Workflows zu arbeiten, müssen Sie über die folgenden Logik-Apps-Rollen oder -Berechtigungen verfügen:

  • Wenn Sie Logic Apps-Connectors verwenden möchten, benötigen Sie möglicherweise andere Anmeldeinformationen, um sich bei ihren jeweiligen Diensten anzumelden (z. B. Ihre Outlook-, Teams- oder Slack-Instanzen).

Erstellen einer Logik-App und Definieren, wann sie automatisch ausgeführt werden soll

Folgen Sie diesen Schritten:

  1. Wählen Sie im Navigationsbereich von Defender for Cloud die Workflow-Automatisierung aus.

    Screenshot des Workflowautomatisierungsbereichs mit der Liste der definierten Automatisierungen.

  2. Auf dieser Seite können Sie neue Automatisierungsregeln erstellen oder vorhandene Regeln aktivieren, deaktivieren oder löschen. Ein Bereich verweist auf das Abonnement, in dem die Workflowautomatisierung bereitgestellt wird.

  3. Um einen neuen Workflow zu definieren, wählen Sie "Workflowautomatisierung hinzufügen" aus. Der Optionsbereich für die neue Automatisierung wird geöffnet.

    Screenshot des Bereichs

  4. Geben Sie Folgendes ein:

    • Ein Name und eine Beschreibung für die Automatisierung.
    • Die Trigger, die diesen automatischen Workflow initiieren. Sie können z. B. möchten, dass ihre Logik-App ausgeführt wird, wenn eine Sicherheitswarnung generiert wird, die den Ausdruck SQL enthält.

  5. Geben Sie die Verbrauchslogik-App an, die ausgeführt wird, wenn die Triggerbedingungen erfüllt sind.

  6. Wählen Sie im Abschnitt "Aktionen"die Seite "Logik-Apps" besuchen, um mit dem Erstellen einer Logik-App zu beginnen.

    Screenshot des Bereichs

    Sie werden zu Azure Logic Apps weitergeleitet.

  7. Wählen Sie (+) "Hinzufügen" aus.

  8. Füllen Sie alle erforderlichen Felder aus, und wählen Sie dann "Überprüfen+ Erstellen" aus.

    Screenshot, der zeigt, wo eine Logik-App erstellt werden soll.

    Die Meldung Bereitstellung läuft erscheint. Warten Sie, bis die Vollständige Bereitstellungsbenachrichtigung angezeigt wird, und wählen Sie dann "Zur Ressource wechseln" aus.

  9. Überprüfen Sie die eingegebenen Informationen, und wählen Sie dann "Erstellen" aus.

    In Ihrer neuen Logik-App können Sie aus integrierten vordefinierten Vorlagen aus der Sicherheitskategorie auswählen. Sie können auch einen benutzerdefinierten Ereignisfluss definieren, der auftritt, wenn dieser Prozess ausgelöst wird.

    Tipp

    Manchmal werden Parameter in einer Logik-App im Connector als Teil einer Zeichenfolge und nicht in ihrem eigenen Feld enthalten. Ein Beispiel zum Extrahieren von Parametern finden Sie in Schritt 14 des Arbeitens mit Logik-App-Parametern beim Erstellen von Microsoft Defender für Cloud-Workflowautomatisierungen.

Unterstützte Trigger

Der Logik-App-Designer unterstützt die folgenden Defender for Cloud-Trigger:

  • Wenn eine Microsoft Defender für Cloud-Empfehlung erstellt oder ausgelöst wird: Wenn Ihre Logik-App auf eine Empfehlung angewiesen ist, die veraltet oder ersetzt wird, funktioniert Ihre Automatisierung nicht mehr, und Sie müssen den Trigger aktualisieren. Verwenden Sie die Versionshinweise, um Änderungen an Empfehlungen nachzuverfolgen.

  • Bei Erstellung oder Auslösung einer Defender for Cloud-Warnung: Sie können den Trigger so anpassen, dass er nur für Warnungen mit den für sie interessanten Schweregraden gilt.

  • Wenn eine Bewertung der gesetzlichen Compliance von Defender for Cloud erstellt oder ausgelöst wird: Sie möchten Automatisierungen basierend auf Updates für behördliche Compliancebewertungen auslösen.

Hinweis

Wenn Sie den älteren Trigger Beim Auslösen einer Antwort auf eine Microsoft Defender for Cloud-Warnung verwenden, wird Workflow Automation-Feature Ihre Logik-Apps nicht öffnen. Verwenden Sie stattdessen einen der oben erwähnten Trigger.

  1. Nachdem Sie Ihre Logik-App definiert haben, kehren Sie zum Bereich "Workflowautomatisierung hinzufügen " zurück.

  2. Wählen Sie "Aktualisieren" aus, um sicherzustellen, dass Ihre neue Logik-App für die Auswahl verfügbar ist.

  3. Wählen Sie Ihre Logik-App aus, und speichern Sie dann die Automatisierung. Im Dropdownmenü werden nur Logik-Apps angezeigt, die Defender für Cloud-Connectors unterstützen.

Manuelles Auslösen einer Logik-App

Sie können Logik-Apps auch manuell ausführen, wenn Sie eine Sicherheitswarnung oder Empfehlung anzeigen.

Um eine Logik-App manuell auszuführen, öffnen Sie eine Warnung oder empfehlung, und wählen Sie dann die Triggerlogik-App aus.

Screenshot, der zeigt, wie Sie eine Logik-App manuell auslösen.

Konfigurieren der Workflowautomatisierung im großen Maßstab

Wenn Sie die Überwachungs- und Vorfallreaktionsprozesse Ihrer Organisation automatisieren, kann die Zeit, die es dauert, Sicherheitsvorfälle zu untersuchen und zu mindern, erheblich verbessert werden.

Um Ihre Automatisierungskonfigurationen in Ihrer Organisation bereitzustellen, verwenden Sie die bereitgestellten Azure-Richtlinien DeployIfNotExist (weiter unten erwähnt), um Workflowautomatisierungsverfahren zu erstellen und zu konfigurieren.

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

So implementieren Sie diese Richtlinien

  1. Wählen Sie in der folgenden Tabelle die Richtlinie aus, die Sie anwenden möchten:

    Ziel Policy Richtlinien-ID
    Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
    Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef
    Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Sie können Richtlinien auch finden, indem Sie Azure-Richtlinie durchsuchen. Wählen Sie in Azure-Richtlinie "Definitionen" aus, und suchen Sie dann anhand des Namens nach ihnen.

  2. Wählen Sie auf der entsprechenden Azure-Richtlinienseite " Zuweisen" aus.

    Screenshot, der zeigt, wie Sie die Azure-Richtlinie zuweisen.

  3. Legen Sie auf der Registerkarte " Grundlagen " den Bereich für die Richtlinie fest. Um die zentrale Verwaltung zu verwenden, weisen Sie die Richtlinie der Verwaltungsgruppe zu, die die Abonnements enthält, die die Workflowautomatisierungskonfiguration verwenden.

  4. Geben Sie auf der Registerkarte "Parameter " die erforderlichen Informationen ein.

    Screenshot der Registerkarte

  5. (Optional) Wenden Sie diese Zuweisung auf ein vorhandenes Abonnement auf der Registerkarte " Wartung " an, und wählen Sie dann die Option zum Erstellen einer Wartungsaufgabe aus.

  6. Überprüfen Sie die Zusammenfassungsseite, und wählen Sie dann "Erstellen" aus.

Datentypschemas

Um die unformatierten Ereignisschemas der Sicherheitswarnungen oder Empfehlungen anzuzeigen, die an die Logik-App übergeben werden, wechseln Sie zu den Datentypenschemas für die Workflowautomatisierung. Dieser Prozess kann in Fällen hilfreich sein, in denen Sie nicht die integrierten Logic Apps-Connectors von Defender für Cloud verwenden (oben erwähnt), sondern stattdessen den generischen HTTP-Connector verwenden. Sie können das Ereignis-JSON-Schema verwenden, um es manuell nach Ihrem Ermessen zu analysieren.

Verwandte Inhalte

  • Last updated on