Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen bestaan uit het melden van relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen.
Beveiligingsexperts raden u aan om zoveel mogelijk stappen van beveiligingsprocedures te automatiseren. Automatisering vermindert overhead. Het kan ook uw beveiliging verbeteren door ervoor te zorgen dat processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.
In dit artikel wordt de functie voor werkstroomautomatisering van Microsoft Defender for Cloud beschreven. Met deze functie kunnen logische apps voor verbruik worden geactiveerd voor beveiligingswaarschuwingen, aanbevelingen en wijzigingen in naleving van regelgeving. U wilt bijvoorbeeld Defender voor Cloud een specifieke gebruiker een e-mail sturen wanneer er een waarschuwing optreedt. U leert ook hoe u logische apps maakt met behulp van Azure Logic Apps.
Vereiste voorwaarden
Voordat u begint:
U moet de rol Beveiligingsbeheerder of Eigenaar hebben voor de resourcegroep.
U moet schrijfmachtigingen hebben voor de doelresource.
Als u wilt werken met Azure Logic Apps-werkstromen, moet u de volgende Logic Apps-rollen of -machtigingen hebben:
- Logische app-operatormachtigingen zijn vereist of lees- of triggertoegang voor logische apps. Gebruikers met deze rol kunnen geen logische apps maken of bewerken. Ze kunnen alleen bestaande programma's uitvoeren.
- Inzendermachtigingen voor logische apps zijn vereist voor het maken en wijzigen van logische apps.
Als u Logic Apps-connectors wilt gebruiken, hebt u mogelijk andere referenties nodig om u aan te melden bij hun respectieve services (bijvoorbeeld uw Outlook-, Teams- of Slack-instanties).
Een logische app maken en definiëren wanneer deze automatisch moet worden uitgevoerd
Volg deze stappen:
Selecteer werkstroomautomatisering op de zijbalk van Defender for Cloud.
Op deze pagina kunt u nieuwe automatiseringsregels maken of bestaande regels inschakelen, uitschakelen of verwijderen. Een scope verwijst naar het abonnement waarin de werkstroomautomatisering wordt uitgevoerd.
Als u een nieuwe werkstroom wilt definiëren, selecteert u Werkstroomautomatisering toevoegen. Het deelvenster Opties voor uw nieuwe automatisering wordt geopend.
Voer het volgende in:
- Een naam en beschrijving voor de automatisering.
- De triggers die deze automatische werkstroom initiëren. U wilt bijvoorbeeld dat uw logische app wordt uitgevoerd wanneer er een beveiligingswaarschuwing wordt gegenereerd die de woordgroep SQL bevat.
Specificeer de consumptielogische app die wordt uitgevoerd wanneer aan de triggervoorwaarden wordt voldaan.
Ga in de sectie Actiesnaar de pagina Logic Apps om het proces te starten om een logische app te maken.
U wordt naar Azure Logic Apps gebracht.
Selecteer (+) Toevoegen.
Vul alle vereiste velden in en klik daarna op Beoordelen + Maken.
Het bericht Implementatie wordt uitgevoerd . Wacht tot de implementatie is voltooid en selecteer vervolgens Ga naar resource.
Controleer de gegevens die u hebt ingevoerd en selecteer daarna Maken.
In uw nieuwe logische app kunt u kiezen uit ingebouwde, vooraf gedefinieerde sjablonen uit de beveiligingscategorie. U kunt ook een aangepaste stroom van gebeurtenissen definiëren die optreden wanneer dit proces wordt geactiveerd.
Aanbeveling
Soms worden parameters opgenomen in een Logic App in de connector als onderdeel van een tekenreeks en niet in een eigen veld. Zie stap 14 van Het werken met parameters voor logische apps tijdens het bouwen van Automatisering van werkstromen in Microsoft Defender for Cloud voor een voorbeeld van het extraheren van parameters.
Ondersteunde triggers
De ontwerper van logische apps ondersteunt de volgende Defender voor Cloud-triggers:
Wanneer een Aanbeveling voor Microsoft Defender voor Cloud wordt gemaakt of geactiveerd: als uw logische app afhankelijk is van een aanbeveling die wordt afgeschaft of vervangen, werkt uw automatisering niet meer en moet u de trigger bijwerken. Gebruik de releaseopmerkingen om wijzigingen in aanbevelingen bij te houden.
Wanneer een Defender voor Cloud-waarschuwing wordt gemaakt of geactiveerd: u kunt de trigger aanpassen zodat deze alleen betrekking heeft op waarschuwingen met de ernstniveaus die u interesseren.
Wanneer een Defender for Cloud-evaluatie voor naleving van regelgeving wordt gemaakt of geactiveerd: u wilt automatiseringen activeren op basis van updates voor nalevingsevaluaties voor regelgeving.
Opmerking
Als u de verouderde trigger gebruikt wanneer een reactie op een Waarschuwing van Microsoft Defender voor Cloud wordt geactiveerd, worden uw logische apps niet geopend met de functie Workflow Automation. Gebruik in plaats daarvan een van de eerder genoemde triggers.
Nadat u uw logische app hebt gedefinieerd, gaat u terug naar het deelvenster Werkstroomautomatisering toevoegen .
Selecteer Vernieuwen om ervoor te zorgen dat uw nieuwe logische app beschikbaar is voor selectie.
Selecteer uw logische app en sla de automatisering op. In het vervolgkeuzemenu worden alleen Logic Apps weergegeven die over Defender for Cloud-connectors beschikken.
Een logische app handmatig activeren
U kunt logische apps ook handmatig uitvoeren wanneer u een beveiligingswaarschuwing of aanbeveling bekijkt.
Als u een logische app handmatig wilt uitvoeren, opent u een waarschuwing of aanbeveling en selecteert u Logische app activeren.
Werkstroomautomatisering op schaal configureren
Wanneer u de processen voor bewaking en reactie op incidenten van uw organisatie automatiseert, kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te beperken aanzienlijk verbeteren.
Als u uw automatiseringsconfiguraties in uw organisatie wilt implementeren, gebruikt u het opgegeven Azure Policy-beleid DeployIfNotExist (later vermeld) om werkstroomautomatiseringsprocedures te maken en te configureren.
Aan de slag met sjablonen voor werkstroomautomatisering.
Ga als volgt te werk om dit beleid te implementeren:
Selecteer in de volgende tabel het beleid dat u wilt toepassen:
Goal Policy Beleids-id Werkstroomautomatisering voor beveiligingswaarschuwingen Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-waarschuwingen f1525828-9a90-4fcf-be48-268cdd02361e Werkstroomautomatisering voor beveiligingsaanbevelingen Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-aanbevelingen 73d6ab6c-2475-4850-afd6-43795f3492ef Werkstroomautomatisering voor wijzigingen in naleving van regelgeving Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud naleving van regelgeving 509122b9-ddd9-47ba-a5f1-d0dac20be63c U kunt ook beleidsregels vinden door te zoeken in Azure Policy. Selecteer definities in Azure Policy en zoek deze vervolgens op naam.
Selecteer Toewijzen op de relevante Azure Policy-pagina.
Stel op het tabblad Basisbeginselen het bereik voor het beleid in. Als u gecentraliseerd beheer wilt gebruiken, wijst u het beleid toe aan de beheergroep die de abonnementen bevat die gebruikmaken van de configuratie van werkstroomautomatisering.
Voer op het tabblad Parameters de vereiste gegevens in.
(Optioneel) Pas deze toewijzing toe op een bestaand abonnement op het tabblad Herstel en selecteer vervolgens de optie om een hersteltaak te maken.
Controleer de overzichtspagina en selecteer Aanmaken.
Schema's voor gegevenstypen
Als u de onbewerkte gebeurtenisschema's van de beveiligingswaarschuwingen of aanbevelingen wilt bekijken die worden doorgegeven aan de logische app, gaat u naar de schema's voor gegevenstypen voor werkstroomautomatisering. Dit proces kan handig zijn in gevallen waarin u de ingebouwde Logic Apps-connectors van Defender for Cloud (eerder vermeld) niet gebruikt, maar in plaats daarvan de algemene HTTP-connector gebruikt. U kunt het JSON-schema van de gebeurtenis gebruiken om het handmatig te parseren naar wens.