Partager via

Automatiser les réponses de correction

Chaque programme de sécurité comprend plusieurs workflows pour la réponse aux incidents. Ces processus peuvent inclure la notification des parties prenantes pertinentes, le démarrage d’un processus de gestion des modifications et l’application d’étapes de correction spécifiques.

Les experts en sécurité vous recommandent d’automatiser autant d’étapes de procédures de sécurité que possible. L’automatisation réduit la surcharge. Elle peut également améliorer votre sécurité en veillant à ce que les étapes de processus soient effectuées rapidement, de manière cohérente et en fonction de vos exigences prédéfinies.

Cet article décrit la fonctionnalité d’automatisation des flux de travail de Microsoft Defender pour cloud. Cette fonctionnalité peut déclencher des applications logiques en mode consommation en réponse à des alertes de sécurité, des recommandations et des changements dans la conformité réglementaire. Par exemple, vous pouvez définir que Defender pour le cloud envoie un e-mail à un utilisateur donné quand une alerte se produit. Vous allez également apprendre à créer des applications logiques à l’aide d’Azure Logic Apps.

Prerequisites

Avant de commencer :

  • Vous devez disposer du rôle d’administrateur de sécurité ou du propriétaire sur le groupe de ressources.

  • Vous devez disposer d’autorisations d’écriture pour la ressource cible.

  • Pour utiliser des flux de travail Azure Logic Apps, vous devez disposer des rôles ou autorisations Logic Apps suivants :

    • Les autorisations d'opérateur Azure Logic Apps sont requises pour que Logic App puisse accéder en lecture ou déclencher des applications logiques. Les utilisateurs disposant de ce rôle ne peuvent pas créer ou modifier des applications logiques. Ils ne peuvent exécuter que des commandes existantes.
    • Les autorisations de Contributeur d'application logique sont requises pour la création et la modification d’applications logiques.

  • Si vous souhaitez utiliser des connecteurs Logic Apps, vous pouvez avoir besoin d’autres informations d’identification pour vous connecter à leurs services respectifs (par exemple, vos instances Outlook, Teams ou Slack).

Créer une application logique et définir quand elle doit s’exécuter automatiquement

Suivez ces étapes :

  1. Dans la barre latérale Defender pour Cloud, sélectionnez Automatisation du flux de travail.

    Capture d’écran montrant le volet Automation de flux de travail avec la liste des automatisations définies.

  2. Dans cette page, vous pouvez créer de nouvelles règles d’automatisation ou activer, désactiver ou supprimer des règles existantes. Une étendue fait référence à l’abonnement dans lequel l’automatisation du flux de travail est déployée.

  3. Pour définir un nouveau flux de travail, sélectionnez Ajouter une automatisation de flux de travail. Le volet options de votre nouvelle automatisation s’ouvre.

    Capture d’écran montrant le volet Automatisation du flux de travail.

  4. Entrez les informations suivantes :

    • Nom et description de l’automatisation.
    • Déclencheurs qui lancent ce flux de travail automatique. Par exemple, vous souhaiterez peut-être que votre application logique s’exécute lorsqu’une alerte de sécurité génère l’expression SQL.

  5. Spécifiez l’application logique de consommation qui s’exécutera lorsque vos conditions de déclencheur sont remplies.

  6. Dans la section Actions , sélectionnez la page Logic Apps pour commencer le processus de création d’une application logique.

    Capture d’écran montrant la section Actions de l’écran Ajouter une automatisation de flux de travail et le lien pour accéder à Azure Logic Apps.

    Vous êtes redirigé vers Azure Logic Apps.

  7. Sélectionnez (+) Ajouter.

  8. Renseignez tous les champs obligatoires, puis sélectionnez Vérifier + Créer.

    Capture d’écran montrant où créer une application logique.

    Le message Le déploiement est en cours apparaît. Attendez que la notification complète du déploiement s’affiche, puis sélectionnez Accéder à la ressource.

  9. Passez en revue les informations que vous avez entrées, puis sélectionnez Créer.

    Dans votre nouvelle application logique, vous pouvez choisir parmi les modèles prédéfinis intégrés de la catégorie de sécurité. Vous pouvez également définir un flux personnalisé d’événements qui se produisent lorsque ce processus est déclenché.

    Conseil / Astuce

    Parfois, les paramètres sont inclus dans une application logique dans le connecteur dans le cadre d’une chaîne et non dans leur propre champ. Pour obtenir un exemple d’extraction de paramètres, consultez l’étape 14 de l’utilisation des paramètres d’application logique lors de la création d’automatisations de flux de travail Microsoft Defender pour cloud.

Déclencheurs pris en charge

Les déclencheurs suivants pour Defender for Cloud sont pris en charge par le concepteur d’applications logiques :

  • Lorsqu’une recommandation Microsoft Defender pour cloud est créée ou déclenchée : si votre application logique s’appuie sur une recommandation qui est déconseillée ou remplacée, votre automatisation cesse de fonctionner et vous devez mettre à jour le déclencheur. Pour suivre les modifications apportées aux recommandations, utilisez les notes de publication.

  • Lorsqu’une alerte Defender pour cloud est créée ou déclenchée : vous pouvez personnaliser le déclencheur afin qu’il soit lié uniquement aux alertes avec les niveaux de gravité qui vous intéressent.

  • Lorsqu’une évaluation de conformité réglementaire Defender pour cloud est créée ou déclenchée : vous souhaitez déclencher des automatisations en fonction des mises à jour apportées aux évaluations de conformité réglementaire.

Note

Si vous utilisez le déclencheur hérité lorsqu’une réponse à une alerte Microsoft Defender pour cloud est déclenchée, la fonctionnalité Workflow Automation n’ouvre pas vos applications logiques. Utilisez plutôt l’un des déclencheurs mentionnés précédemment.

  1. Après avoir défini votre application logique, revenez au volet Ajouter une automatisation de flux de travail .

  2. Sélectionnez Actualiser pour vous assurer que votre nouvelle application logique est disponible pour la sélection.

  3. Sélectionnez votre application logique, puis enregistrez l’automatisation. Le menu déroulant affiche uniquement les applications logiques prenant en charge Defender pour les connecteurs cloud.

Déclencher manuellement une application logique

Vous pouvez également exécuter manuellement des applications logiques lorsque vous affichez une alerte de sécurité ou une recommandation.

Pour exécuter manuellement une application logique, ouvrez une alerte ou une recommandation, puis sélectionnez Déclencher une application logique.

Capture d’écran montrant comment déclencher manuellement une application logique.

Configurer l’automatisation des flux de travail à grande échelle

Lorsque vous automatisez les processus de surveillance et de réponse aux incidents de votre organisation, le temps nécessaire pour examiner et atténuer les incidents de sécurité peut considérablement améliorer.

Pour déployer vos configurations d’automatisation au sein de votre organisation, utilisez les stratégies Azure Policy DeployIfNotExist fournies (mentionnées plus loin) pour créer et configurer des procédures d’automatisation de flux de travail.

Prise en main des modèles d’automatisation de flux de travail.

Pour implémenter ces stratégies :

  1. Dans le tableau suivant, sélectionnez la stratégie à appliquer :

    Objectif Policy ID de stratégie
    Automatisation du flux de travail pour les alertes de sécurité Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automatisation du flux de travail pour les recommandations de sécurité Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automatisation des workflows pour les modifications de conformité réglementaire Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Vous pouvez également trouver des stratégies en recherchant Azure Policy. Dans Azure Policy, sélectionnez Définitions, puis recherchez-les par nom.

  2. Dans la page Azure Policy appropriée, sélectionnez Affecter.

    Capture d'écran montrant comment attribuer la stratégie Azure.

  3. Sous l’onglet Informations de base , définissez l’étendue de la stratégie. Pour utiliser la gestion centralisée, affectez la stratégie au groupe d’administration qui contient les abonnements qui utilisent la configuration d’automatisation du flux de travail.

  4. Sous l’onglet Paramètres , entrez les informations requises.

    Capture d’écran montrant l’onglet Paramètres.

  5. (Facultatif) Appliquez cette attribution à un abonnement existant sous l’onglet Correction , puis sélectionnez l’option permettant de créer une tâche de correction.

  6. Passez en revue la page récapitulative, puis sélectionnez Créer.

Schémas de types de données

Pour afficher les schémas d’événements bruts des alertes de sécurité ou des événements de recommandations passés à l’application logique, accédez aux schémas de types de données pour l’automatisation du flux de travail. Ce processus peut être utile dans les cas où vous n’utilisez pas les connecteurs Logic Apps intégrés Defender pour cloud (mentionnés précédemment), mais utilisez plutôt le connecteur HTTP générique. Vous pouvez utiliser le schéma JSON d’événement pour l’analyser manuellement comme vous le voyez.

Contenu connexe

  • Last updated on