Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie odpowiednich uczestników projektu, rozpoczęcie procesu zarządzania zmianami i zastosowanie określonych kroków korygowania.
Eksperci ds. zabezpieczeń zalecają automatyzowanie jak najwięcej kroków procedur zabezpieczeń. Automatyzacja zmniejsza obciążenie. Może również poprawić Twoje bezpieczeństwo, zapewniając szybkie i spójne wykonanie kroków procesu zgodnie ze wstępnie zdefiniowanymi wymaganiami.
W tym artykule opisano funkcję automatyzacji przepływu pracy usługi Microsoft Defender for Cloud. Ta funkcja może wyzwalać aplikacje logiki użycia dotyczące alertów zabezpieczeń, zaleceń i zmian zgodności z przepisami. Możesz na przykład Defender dla Chmury wysłać wiadomość e-mail do określonego użytkownika po wystąpieniu alertu. Dowiesz się również, jak tworzyć aplikacje logiki przy użyciu usługi Azure Logic Apps.
Wymagania wstępne
Przed rozpoczęciem:
Musisz mieć rolę administratora zabezpieczeń lub właściciela w grupie zasobów.
Musisz mieć uprawnienia do zapisu dla zasobu docelowego.
Aby pracować z przepływami pracy usługi Azure Logic Apps, musisz mieć następujące role lub uprawnienia usługi Logic Apps:
- Wymagane są uprawnienia operatora aplikacji Logic lub dostęp do odczytu czy uruchamiania aplikacji Logic. Użytkownicy z tą rolą nie mogą tworzyć ani edytować aplikacji logiki. Mogą uruchamiać tylko te istniejące.
- Uprawnienia współautora aplikacji logiki są wymagane do tworzenia i modyfikowania aplikacji logiki.
Jeśli chcesz używać łączy Logic Apps, może być konieczne zalogowanie się do odpowiednich usług (na przykład swoich kont Outlook, Teams lub Slack).
Tworzenie aplikacji logiki i definiowanie, kiedy ma zostać uruchomione automatycznie
Wykonaj te kroki:
Na pasku bocznym usługi Defender for Cloud wybierz pozycję Automatyzacja przepływu pracy.
Na tej stronie można tworzyć nowe reguły automatyzacji lub włączać, wyłączać lub usuwać istniejące. Zakres odnosi się do subskrypcji, w której wdrożono automatyzację przepływu pracy.
Aby zdefiniować nowy przepływ pracy, wybierz pozycję Dodaj automatyzację przepływu pracy. Zostanie otwarte okienko opcji nowej automatyzacji.
Wprowadź następujące informacje:
- Nazwa i opis automatyzacji.
- Wyzwalacze, które inicjują ten automatyczny przepływ pracy. Na przykład możesz chcieć uruchomić aplikację logiki, gdy alert zabezpieczeń generuje frazę SQL.
Określ aplikację logiki użycia, która będzie uruchamiana po spełnieniu warunków wyzwalacza.
W sekcji Akcje wybierz stronę Logic Apps , aby rozpocząć proces tworzenia aplikacji logiki.
Jesteś przekierowany do usługi Azure Logic Apps.
Wybierz pozycję (+) Dodaj.
Wypełnij wszystkie wymagane pola, a następnie wybierz pozycję Przejrzyj i utwórz.
Zostanie wyświetlony komunikat Wdrożenie jest w toku . Poczekaj na wyświetlenie powiadomienia o zakończeniu wdrażania , a następnie wybierz pozycję Przejdź do zasobu.
Przejrzyj wprowadzone informacje, a następnie wybierz pozycję Utwórz.
W nowej aplikacji logiki możesz wybrać spośród wbudowanych, wstępnie zdefiniowanych szablonów z kategorii zabezpieczeń. Możesz też zdefiniować niestandardowy przepływ zdarzeń, które mają miejsce, gdy wyzwala się ten proces.
Wskazówka
Czasami parametry są uwzględniane w aplikacji logicznej w łączniku jako część ciągu znaków, a nie we własnym polu. Aby zapoznać się z przykładem wyodrębniania parametrów, zobacz krok 14 tematu Praca z parametrami aplikacji logiki podczas tworzenia automatyzacji przepływów pracy usługi Microsoft Defender for Cloud.
Obsługiwane wyzwalacze
Projektant aplikacji logiki obsługuje następujące wyzwalacze usługi Defender for Cloud:
Po utworzeniu lub wyzwoleniu rekomendacji usługi Microsoft Defender for Cloud: jeśli aplikacja logiki korzysta z zalecenia, które zostanie wycofane lub zastąpione, automatyzacja przestanie działać i musisz zaktualizować wyzwalacz. Aby śledzić zmiany zaleceń, skorzystaj z informacji o wersji.
Po utworzeniu lub wyzwoleniu alertu usługi Defender for Cloud: możesz dostosować wyzwalacz tak, aby odnosił się tylko do alertów z interesującymi Cię poziomami ważności.
Po utworzeniu lub wyzwoleniu oceny zgodności z przepisami usługi Defender for Cloud: chcesz wyzwolić automatyzacje na podstawie aktualizacji ocen zgodności z przepisami.
Uwaga / Notatka
Jeśli korzystasz ze starszego wyzwalacza Kiedy uruchomiona zostaje odpowiedź na alert usługi Microsoft Defender for Cloud, funkcja automatyzacji przepływu pracy nie otwiera aplikacji logicznych. Zamiast tego użyj dowolnego z wymienionych wcześniej wyzwalaczy.
Po zdefiniowaniu aplikacji logiki wróć do okienka Dodawanie automatyzacji przepływu pracy .
Wybierz pozycję Odśwież , aby upewnić się, że nowa aplikacja logiki jest dostępna do wyboru.
Wybierz aplikację logiki, a następnie zapisz automatyzację. W menu rozwijanym są wyświetlane tylko aplikacje logiki obsługujące łączniki usługi Defender for Cloud.
Ręczne wyzwalanie aplikacji logiki
Aplikacje logiki można również uruchamiać ręcznie po wyświetleniu dowolnego alertu zabezpieczeń lub zalecenia.
Aby ręcznie uruchomić aplikację Logic Apps, otwórz alert lub zalecenie, a następnie wybierz pozycję Uruchom aplikację Logic Apps.
Konfigurowanie automatyzacji przepływu pracy na dużą skalę
Podczas automatyzowania procesów monitorowania i reagowania na incydenty w organizacji, czas potrzebny na zbadanie i zażegnanie incydentów zabezpieczeń może się znacznie skrócić.
Aby wdrożyć konfiguracje automatyzacji w całej organizacji, użyj dostarczonych zasad usługi Azure Policy DeployIfNotExist (wymienionych później), aby utworzyć i skonfigurować procedury automatyzacji przepływu pracy.
Wprowadzenie do szablonów automatyzacji przepływu pracy.
Aby zaimplementować te zasady:
W poniższej tabeli wybierz zasady, które chcesz zastosować:
Goal Policy Identyfikator zasad Automatyzacja przepływu pracy dla alertów zabezpieczeń Wdrażanie automatyzacji przepływu pracy dla alertów usługi Microsoft Defender for Cloud f1525828-9a90-4fcf-be48-268cdd02361e Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń Wdrażanie automatyzacji przepływu pracy dla rekomendacji usługi Microsoft Defender for Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami Microsoft Defender dla Chmury 509122b9-ddd9-47ba-a5f1-d0dac20be63c Zasady można również znaleźć, wyszukując usługę Azure Policy. W usłudze Azure Policy wybierz pozycję Definicje, a następnie wyszukaj je według nazwy.
Na odpowiedniej stronie usługi Azure Policy wybierz pozycję Przypisz.
Na karcie Podstawy ustaw zakres zasad. Aby użyć scentralizowanego zarządzania, przypisz zasady do grupy zarządzania zawierającej subskrypcje korzystające z konfiguracji automatyzacji przepływu pracy.
Na karcie Parametry wprowadź wymagane informacje.
(Opcjonalnie) Zastosuj to przypisanie do istniejącej subskrypcji na karcie Korygowanie , a następnie wybierz opcję utworzenia zadania korygowania.
Przejrzyj stronę podsumowania, a następnie wybierz pozycję Utwórz.
Schematy typów danych
Aby wyświetlić nieprzetworzone schematy zdarzeń alertów zabezpieczeń lub zdarzeń zaleceń przekazywanych do aplikacji logiki, przejdź do schematów typów danych dla automatyzacji przepływu pracy. Ten proces może być przydatny w przypadkach, gdy nie używasz wbudowanych łączników usługi Logic Apps w usłudze Defender for Cloud (wymienionych wcześniej), ale zamiast tego używasz ogólnego łącznika HTTP. Możesz użyć schematu JSON zdarzenia, aby ręcznie go przeanalizować według własnego uznania.