共用方式為

自動化補救回應

每個安全性程式都包含事件回應的多個工作流程。 這些程序可能包括通知相關利害關係人、啟動變更管理程序,以及套用特定的補救步驟。

安全專家建議您盡可能自動化許多安全程序步驟。 自動化可減少開銷。 它還可以確保流程步驟快速、一致地完成並根據您的預定義要求來提高您的安全性。

本文說明適用於雲端的 Microsoft Defender 的工作流程自動化功能。 此功能可在安全性警示、建議和法規合規性變更時觸發取用邏輯應用程式。 例如,警示發生時,您可能會希望適用於雲端的 Defender 寄送電子郵件給特定使用者。 您也會瞭解如何使用 Azure Logic Apps 建立邏輯應用程式。

先決條件

在開始之前:

  • 您必須在資源群組上具有 安全性系統管理員角色擁有者

  • 您必須具有目標資源的寫入許可。

  • 若要使用 Azure Logic Apps 工作流程,您必須具有下列 Logic Apps 角色或許可權:

    • 需要邏輯應用程式操作員權限,或邏輯應用程式讀取或觸發存取權。 具有此角色的使用者無法建立或編輯邏輯應用程式。 它們只能執行現有流程。
    • 邏輯應用程式建立和修改需要邏輯應用程式參與者權限。

  • 如果您想要使用 Logic Apps 連接器,您可能需要其他認證才能登入其各自的服務 (例如,您的 Outlook、Teams 或 Slack 執行個體)。

建立邏輯應用程式並定義應自動執行的時間

執行下列步驟:

  1. 在適用於雲端的 Defender 側邊欄上,選取 [工作流程自動化]。

    螢幕擷取畫面,顯示工作流程自動化窗格,其中包含已定義的自動化清單。

  2. 在此頁面上,您可以建立新的自動化規則,或啟用、停用或刪除現有的自動化規則。 範圍是指部署工作流程自動化的訂用帳戶。

  3. 若要定義新的工作流程,請選取 [新增工作流程自動化]。 新自動化的選項窗格隨即開啟。

    顯示工作流程自動化窗格的螢幕擷取畫面。

  4. 輸入下列內容:

    • 自動化的名稱及說明。
    • 啟動此自動工作流程的觸發器。 例如,您可能想要在產生包含片語 SQL 的安全性警示時執行邏輯應用程式。

  5. 當觸發條件達成時,指定要執行的消耗型邏輯應用程式。

  6. [動作] 區段上,選取 造訪邏輯應用程式頁面,以開始建立邏輯應用程式。

    螢幕擷取畫面顯示 [新增工作流程自動化] 畫面的 [動作] 區段,以及移至 Azure Logic Apps 的連結。

    系統會帶您前往 Azure Logic Apps。

  7. 選取 (+) [新增]。

  8. 填寫所有必填欄位,然後選取檢閱 + 建立。

    螢幕擷取畫面,顯示建立邏輯應用程式的位置。

    隨即顯示部署 進行中 訊息。 等候 [部署完成 ] 通知出現,然後選取 [ 移至資源]。

  9. 檢閱您輸入的資訊,然後選取 [建立]。

    在新的邏輯應用程式中,您可以從安全性類別的內建預先定義範本中進行選擇。 或者,您可以定義觸發此處理程序時發生的自訂事件流程。

    小提示

    有時候,參數會包含在連接器中的邏輯應用程式中,做為字串的一部分,而不是包含在自己的欄位中。 如需如何擷取參數的範例,請參閱 在建置適用於雲端的 Microsoft Defender 工作流程自動化時使用邏輯應用程式參數的步驟 14。

支援的觸發器

邏輯應用程式設計工具支援下列 Defender for Cloud 的觸發程式:

  • 當建立或觸發 Microsoft Defender for Cloud 的建議時:如果您的邏輯應用程式依賴已被廢止或取代的建議,您的自動化流程將會停止運作,而您需要更新觸發條件。 若要追蹤建議的變更,請使用 版本資訊

  • 當建立或觸發 Defender for Cloud 警示時:您可以自訂觸發條件,使其僅與您感興趣的嚴重性等級的警示相關。

  • 建立或觸發適用於雲端的 Defender 法規合規性評量時:您想要根據法規合規性評量的更新觸發自動化。

備註

如果您使用舊版觸發程序「當觸發適用於雲端的 Microsoft Defender 警示的回應時」,則工作流程自動化功能不會開啟您的邏輯應用程式。 相反,請使用前面提到的任一觸發器。

  1. 定義邏輯應用程式之後,請返回 [ 新增工作流程自動化 ] 窗格。

  2. 選取 [重新整理] 以確保您的新邏輯應用程式可供選取。

  3. 選擇您的邏輯應用程式,然後儲存自動化設定。 下拉式功能表只會顯示具有支援 Microsoft Defender for Cloud 連接器的邏輯應用程式。

手動觸發邏輯應用程式

您也可以在檢視任何安全性警示或建議時手動執行邏輯應用程式。

若要手動執行邏輯應用程式,請開啟警示或建議,然後選取 [觸發邏輯應用程式]。

螢幕擷取畫面,示範如何手動觸發邏輯應用程式。

大規模設定工作流程自動化

當您自動化組織的監控和事件回應程序時,調查和緩解安全事件所需的時間可以大幅縮短。

若要在整個組織中部署自動化設定,請使用提供的 Azure 原則 DeployIfNotExist 原則 (稍後所述) 來建立和設定工作流程自動化程式。

開始使用工作流程自動化範本

若要實作這些原則:

  1. 在下表中,選取您要套用的原則:

    Goal 原則 原則識別碼
    安全性警示的工作流程自動化 針對適用於雲端的 Microsoft Defender 警示來部署工作流程自動化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全性建議的工作流程自動化 針對適用於雲端的 Microsoft Defender 建議來部署工作流程自動化 73d6ab6c-2475-4850-afd6-43795f3492ef
    法規合規性變更的工作流程自動化 針對適用於雲端的 Microsoft Defender 法規合規性部署工作流程自動化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    您也可以使用 Azure Policy 搜尋並尋找原則。 在 Azure 原則中,選取 [定義],然後依名稱搜尋它們。

  2. 在相關的 Azure 原則頁面上,選取 [指派]。

    螢幕擷取畫面,顯示如何指派 Azure 原則。

  3. [基本] 索引標籤上,設定原則的範圍。 若要使用集中式管理,請將原則指派給包含使用工作流程自動化設定之訂用帳戶的 管理群組

  4. [參數] 索引標籤上,輸入必要的資訊。

    顯示 [參數] 索引標籤的螢幕擷取畫面。

  5. (選用)將此指派套用至 [ 補救] 索引標籤上的現有訂用帳戶,然後選取建立補救工作的選項。

  6. 檢閱摘要頁面,然後選取 [建立]。

資料類型結構描述

若要檢視傳遞至邏輯應用程式之安全性警示或建議事件的原始事件結構描述,請移至 工作流程自動化的資料類型結構描述。 如果您未使用適用於雲端的 Defender 內建 Logic Apps 連接器 (先前所述) ,而是使用一般 HTTP 連接器,則此程式會很有用。 您可以使用事件 JSON 結構描述,按需手動解析它。

相關內容

  • Last updated on