自动修正响应

每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程,以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销, 还可确保根据你预定义的要求快速、一致地执行处理步骤,从而增强安全性。

本文介绍 Microsoft Defender for Cloud 的工作流自动化功能。 此功能可根据安全警报、建议和法规合规性更改触发消耗逻辑应用。 例如,你可能希望 Defender for Cloud 在发生警报时向特定用户发送电子邮件。 你还将了解如何使用 Azure 逻辑应用创建逻辑应用。

先决条件

开始之前:

  • 需要在资源组上具有安全管理员角色或所有者角色。

  • 还必须具有对目标资源的写入权限。

  • 若要使用 Azure 逻辑应用工作流,还必须具有以下逻辑应用角色/权限:

    • 逻辑应用读取/触发访问需要逻辑应用操作员权限(此角色无法创建或编辑逻辑应用,仅可运行现有应用)
    • 需要逻辑应用参与者权限才能创建和修改逻辑应用。
  • 如果要使用逻辑应用连接器,则可能需要使用其他凭据登录到其各自的服务(例如 Outlook/Teams/Slack 实例)。

创建一个逻辑应用,并定义它应自动运行的时间

执行以下步骤:

  1. 在 Defender for Cloud 的边栏中,选择“工作流自动化”。

    工作流自动化页面的屏幕截图,显示了已定义的自动化的列表。

  2. 在此页上,创建新的自动化规则,还可启用、禁用或删除现有规则。 范围是指在其中部署工作流自动化的订阅。

  3. 若要定义新工作流,请选择“添加工作流自动化”。 此时会打开新自动化的选项窗格。

    添加工作流自动化窗格。

  4. 输入以下内容:

    • 自动化的名称和说明。

    • 将启动此自动工作流的触发器。 例如,你可能希望在生成包含“SQL”的安全警报时运行逻辑应用。

      如果触发器是包含“子建议”(例如“应修正关于 SQL 数据库的漏洞评估结果”)的建议,逻辑应用不会针对每个新的安全发现触发,仅当父建议的状态发生更改时才会触发。

  5. 指定满足触发条件时将运行的消耗型逻辑应用。

  6. 在“操作”部分中,选择“访问逻辑应用页”以开始逻辑应用创建过程。

    显示添加工作流自动化屏幕的“操作”部分,以及用于访问 Azure 逻辑应用的链接的屏幕截图。

    你将转到 Azure 逻辑应用。

  7. 选择“(+)添加”。

    创建逻辑应用的位置的屏幕截图。

  8. 填写所有必填字段,然后选择“查看 + 创建”。

    此时会显示消息“部署正在进行”。 等待部署完成通知出现,然后从通知中选择“转到资源”。

  9. 查看输入的信息,然后选择“创建”。

    在新的逻辑应用中,可从安全类别中选择内置的预定义模板。 也可定义在触发此进程时要发生的自定义事件流。

    提示

    有时在逻辑应用中,参数作为字符串的一部分包含在连接器中,而不是包含在自己的字段中。 有关如何提取参数的示例,请参阅在构建 Microsoft Defender for Cloud 工作流自动化时使用逻辑应用参数中的步骤 #14。

支持的触发器

逻辑应用设计器支持以下 Defender for Cloud 触发器:

  • 创建或触发 Microsoft Defender for Cloud 建议时 - 如果逻辑应用依赖已弃用或已替代的建议,则自动化将停止工作,且你需要更新触发器。 若要跟踪对建议的更改,请查看发行说明

  • 创建或触发 Defender for Cloud 警报时 - 可以自定义触发器,使其仅与你所关注的严重性级别的警报相关。

  • 创建或触发 Defender for Cloud 合规性评估时 - 根据合规性评估的更新触发自动化。

注意

如果要使用旧触发器“触发对 Microsoft Defender for Cloud 警报的响应时”,工作流自动化功能将不会启动逻辑应用。 请改用上述的任一触发器。

  1. 定义逻辑应用后,回到工作流自动化定义窗格(“添加工作流自动化”)。

  2. 选择“刷新”以确保可选择新的逻辑应用。

  3. 选择逻辑应用并保存自动化。 “逻辑应用”下拉列表仅显示支持上述 Defender for Cloud 连接器的逻辑应用。

手动触发逻辑应用

在查看任何安全警报或建议时,还可手动运行逻辑应用。

要手动运行逻辑应用,请打开警报或建议,然后选择“触发逻辑应用”。

手动触发逻辑应用。

大规模配置工作流自动化

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

若要在整个组织中部署自动化配置,请使用提供的 Azure Policy“DeployIfNotExist”策略(如下所述)来创建和配置工作流自动化过程。

开始使用工作流自动化模板

实施这些策略:

  1. 从下表中选择要应用的策略:

    目标 策略 策略 ID
    安全警报的工作流自动化 为 Microsoft Defender for Cloud 警报部署工作流自动化 f1525828-9a90-4fcf-be48-268cdd02361e
    安全建议的工作流自动化 为 Microsoft Defender for Cloud 建议部署工作流自动化 73d6ab6c-2475-4850-afd6-43795f3492ef
    用于法规合规性的工作流自动化发生更改 为 Microsoft Defender for Cloud 合规性部署工作流自动化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    还可通过搜索 Azure Policy 来找到这些内容。 在 Azure Policy 中,选择“定义”并按名称进行搜索。

  2. 在相关的 Azure Policy 页中,选择“分配”。 分配 Azure Policy。

  3. 在“基础信息”选项卡中,设置策略的范围。 若要使用集中式管理,请将策略分配给包含将使用工作流自动化配置的订阅的管理组。

  4. 在“参数”选项卡中输入所需的信息。

    “参数”选项卡的屏幕截图。

  5. (可选)将此分配应用于“修正”选项卡中的现有订阅,然后选择用于创建修正任务的选项。

  6. 查看“摘要”页,并选择“创建”。

    数据类型架构

    要查看传递到逻辑应用的安全警报或建议事件的原始事件架构,请访问工作流自动化数据类型架构。 如果未使用上述 Defender for Cloud 的内置逻辑应用连接器,而是使用通用 HTTP 连接器,则此功能非常有用 - 可使用事件 JSON 架构以合适的方式手动分析它。