通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

自动化补救响应

每个安全计划都包含事件响应的多个工作流。 这些流程可能包括通知相关利益干系人、启动更改管理过程以及应用特定的修正步骤。

安全专家建议尽可能自动执行尽可能多的安全过程步骤。 自动化可减少开销。 它还可以通过确保按照预定义的要求快速、一致地完成流程步骤来提高安全性。

本文介绍 Microsoft Defender for Cloud 的工作流自动化功能。 此功能可根据安全警报、建议和法规合规性更改触发消耗逻辑应用。 例如,你可能希望 Defender for Cloud 在发生警报时向特定用户发送电子邮件。 你还将了解如何使用 Azure 逻辑应用创建逻辑应用。

先决条件

开始之前:

  • 需要在资源组上具有 安全管理员角色所有者

  • 必须具有目标资源的写入权限。

  • 若要使用 Azure 逻辑应用工作流,必须具有以下逻辑应用角色或权限:

    • 需要逻辑应用操作员权限,或者逻辑应用读取或触发权限。 具有此角色的用户无法创建或编辑逻辑应用。 他们只能运行已有的。
    • 需要逻辑应用参与者权限才能创建和修改逻辑应用。

  • 如果要使用逻辑应用连接器,可能需要其他凭据才能登录到各自的服务(例如 Outlook、Teams 或 Slack 实例)。

创建逻辑应用并定义何时应自动运行

执行以下步骤:

  1. 在 Defender for Cloud 边栏上,选择 “工作流自动化”。

    显示工作流自动化窗格的屏幕截图,其中包含定义的自动化列表。

  2. 在此页上,可以创建新的自动化规则或启用、禁用或删除现有规则。 预订范围是指在其中部署工作流自动化的订阅。

  3. 若要定义新工作流,请选择“添加工作流自动化”。 此时会打开新自动化的选项窗格。

    显示“工作流自动化”窗格的屏幕截图。

  4. 输入以下内容:

    • 自动化的名称和说明。
    • 启动此自动工作流的触发器。 例如,你可能希望逻辑应用在安全警报生成包含 短语 SQL 时运行。

  5. 指定满足触发条件时将运行的消耗型逻辑应用。

  6. “作 ”部分中,选择 访问“逻辑应用”页 ,开始创建逻辑应用的过程。

    显示添加工作流自动化屏幕的“操作”部分,以及用于转到 Azure 逻辑应用的链接的屏幕截图。

    你进入 Azure Logic Apps。

  7. 选择“(+)添加”

  8. 填写所有必填字段,然后选择“ 查看 + 创建”。

    显示创建逻辑应用的位置的屏幕截图。

    此时会显示消息“部署正在进行”。 等待 部署完成 通知显示,然后选择“ 转到资源”。

  9. 查看输入的信息,然后选择“ 创建”。

    在新的逻辑应用中,可以从安全类别中的内置预定义模板中进行选择。 或者,可以定义在触发此过程时发生的事件自定义流。

    小窍门

    有时,参数包含在连接器中的逻辑应用中,作为字符串的一部分,而不是在其自己的字段中。 有关提取参数的示例,请参阅在构建 Microsoft Defender for Cloud 工作流自动化时使用逻辑应用参数的第 14 步。

支持的触发器

逻辑应用设计器支持以下 Defender for Cloud 触发器:

  • 创建或触发 Microsoft Defender for Cloud 建议时:如果逻辑应用依赖于弃用或替换的建议,则自动化将停止工作,并且需要更新触发器。 若要跟踪对建议的更改,请查看发行说明

  • 创建或触发 Defender for Cloud 警报时:可以自定义触发器,使其仅与与你感兴趣的严重性级别的警报相关。

  • 创建或触发 Defender for Cloud 法规符合性评估时:需要根据法规合规性评估的更新触发自动化。

注释

如果使用的是旧版触发器“当针对 Microsoft Defender for Cloud 警报的响应被触发时”,工作流自动化功能不会打开逻辑应用。 请改用前面提到的任一触发器。

  1. 定义逻辑应用后,返回到 “添加工作流自动化 ”窗格。

  2. 选择“刷新”以确保可选择新的逻辑应用。

  3. 选择逻辑应用,然后保存自动化。 下拉菜单仅显示支持 Defender for Cloud 连接器的逻辑应用。

手动触发逻辑应用

查看任何安全警报或建议时,还可以手动运行逻辑应用。

若要手动运行逻辑应用,请打开警报或建议,然后选择“ 触发逻辑应用”。

显示如何手动触发逻辑应用的屏幕截图。

大规模配置工作流自动化

自动执行组织的监视和事件响应流程时,调查和缓解安全事件所需的时间可以大大提高。

若要在整个组织中部署自动化配置,请使用提供的 Azure Policy DeployIfNotExist 策略(稍后提及)来创建和配置工作流自动化过程。

工作流自动化模板入门。

若要实施这些策略,请执行以下步骤:

  1. 在下表中,选择要应用的策略:

    目标 Policy 策略 ID
    安全警报的工作流自动化 为 Microsoft Defender for Cloud 警报部署工作流自动化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全建议的工作流自动化 为 Microsoft Defender for Cloud 建议部署工作流自动化 73d6ab6c-2475-4850-afd6-43795f3492ef
    用于法规合规性的工作流自动化发生更改 为 Microsoft Defender for Cloud 合规性部署工作流自动化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    还可以通过搜索 Azure Policy 来查找策略。 在 Azure Policy 中,选择 “定义”,然后按名称搜索它们。

  2. 在相关的 Azure Policy 页上,选择“ 分配”。

    显示如何分配 Azure 策略的屏幕截图。

  3. 在“基础信息”选项卡上,设置策略的范围。 若要使用集中式管理,请将策略分配给包含使用工作流自动化配置的订阅的管理

  4. 在“ 参数 ”选项卡上,输入所需的信息。

    显示“参数”选项卡的屏幕截图。

  5. (可选)将此分配应用于 “修正 ”选项卡上的现有订阅,然后选择用于创建修正任务的选项。

  6. 查看“摘要”页,并选择“创建”

数据类型架构

若要查看传递到逻辑应用的安全警报或建议事件的原始事件架构,请转到 工作流自动化的数据类型架构。 如果不是使用 Defender for Cloud 内置逻辑应用连接器(前面提到的),但使用的是通用 HTTP 连接器,则此过程非常有用。 可以根据需要使用事件 JSON 架构手动分析它。

相关内容

  • Last updated on