Beheben von Warnungen und Automatisieren von Antworten

  • 7 Minuten

Wählen Sie auf der Übersichtsseite von Defender für Cloud oben die Registerkarte „Defender für Cloud“ oder den Link in der Randleiste aus.

Screenshot of the Defender for Cloud Alerts list page.

Wählen Sie in der Liste Sicherheitswarnungen eine Warnung aus. Daraufhin wird ein Seitenbereich geöffnet, in dem eine Beschreibung der Warnung und alle betroffenen Ressourcen angezeigt werden.

Screenshot of the Defender for Cloud Alert Details Flyout.

Wenn Sie weitere Informationen anzeigen möchten, wählen Sie Vollständige Details anzeigen aus.

Im linken Bereich der Seite mit der Sicherheitswarnung werden allgemeine Informationen zur Sicherheitswarnung angezeigt: Titel, Schweregrad, Status, Zeitpunkt der Aktivität, Beschreibung der verdächtigen Aktivität und die betroffene Ressource. Neben der betroffenen Ressource werden die für die Ressource relevanten Azure-Tags angezeigt. Verwenden Sie Tags, um bei der Untersuchung der Benachrichtigung auf den organisatorischen Kontext der Ressource zu schließen.

Auf der rechten Seite befindet sich die Registerkarte Warnungsdetails, die detaillierte Informationen zur Warnung anzeigt, die Ihnen beim Untersuchen des Problems helfen: IP-Adressen, Dateien, Prozesse und vieles mehr.

Screenshot of the Defender for Cloud Alert Detail page.

Im rechten Bereich finden Sie auch die Registerkarte Aktion ausführen. Über diese Registerkarte können Sie weitere Aktionen in Bezug auf die Sicherheitswarnung ausführen. Folgende Aktionen sind möglich:

  • Auswirkungen der Bedrohung minimieren: Stellt manuelle Schritte zur Behebung dieser Sicherheitswarnung bereit.

  • Künftige Angriffe verhindern: Gibt Sicherheitsempfehlungen, um die Angriffsfläche zu verringern, den Sicherheitsstatus zu erhöhen und so künftige Angriffe zu verhindern.

  • Automatische Reaktion auslösen: Bietet die Möglichkeit, eine Logik-App als Reaktion auf diese Sicherheitswarnung auszulösen.

  • Ähnliche Warnungen unterdrücken: Bietet die Möglichkeit, zukünftige Warnungen mit ähnlichen Merkmalen zu unterdrücken, wenn die Warnung für Ihre Organisation nicht relevant ist.

Screenshot of the Defender for Cloud Alert Take Action tab.

Automatisieren von Antworten

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch Automatisierung wird der Aufwand reduziert. Außerdem können Sie so die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, konsistent und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.

Dieses Feature kann Logic Apps bei Sicherheitswarnungen und Empfehlungen auslösen. Beispielsweise können Sie festlegen, dass von Defender für Cloud eine E-Mail an einen bestimmten Benutzer gesendet wird, wenn eine Warnung auftritt.

Erstellen einer Logik-App und Definieren des Zeitpunkts ihrer automatischen Ausführung

Wählen Sie in der Randleiste von Defender für Cloud die Option Workflowautomatisierung aus.

Von dieser Seite aus können Sie neue Automatisierungsregeln erstellen und bestehende Regeln aktivieren, deaktivieren oder löschen.

Um einen neuen Workflow zu definieren, wählen Sie „Workflowautomatisierung hinzufügen“ aus.

Ein Bereich mit Optionen für die neue Automatisierung wird angezeigt. Darin können Sie Folgendes eingeben:

  • Einen Namen und eine Beschreibung für die Automatisierung

  • Die Trigger zum Auslösen dieses automatischen Workflows. Sie könnten beispielsweise Ihre Logik-App ausführen, wenn eine Sicherheitswarnung generiert wird, die „SQL“ enthält.

  • Die Logik-App, die ausgeführt wird, wenn die Triggerbedingungen erfüllt sind

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

Wählen Sie „Erstellen Sie eine neue, um mit der Erstellung der Logik-App zu beginnen“ im Abschnitt „Aktionen“ aus.

Sie werden zu Azure Logic Apps umgeleitet.

  • Geben Sie einen Namen, eine Ressourcengruppe und einen Speicherort ein, und wählen Sie „Erstellen“ aus.

  • Sie können in Ihrer neuen Logik-App zwischen integrierten, vordefinierten Vorlagen der Kategorie „Sicherheit“ auswählen. Sie können aber auch einen benutzerdefinierten Ereignisflow definieren, der beim Auslösen dieses Prozesses gestartet wird.

Der Logik-App-Designer unterstützt die folgenden Defender für Cloud-Trigger:

  • Bei Erstellen oder Auslösen einer Defender für Cloud-Empfehlung: Wenn Ihre Logik-App auf einer Empfehlung basiert, die veraltet ist oder ausgetauscht wird, funktioniert Ihre Automatisierung nicht mehr. Sie müssen dann den Trigger aktualisieren. Die Änderungen von Empfehlungen können Sie in den Versionshinweisen zu Defender für Cloud nachverfolgen.

  • Bei Erstellung oder Auslösung einer Defender für Cloud-Warnung: Sie können den Trigger so anpassen, dass er nur für Warnungen mit den für sie interessanten Schweregraden gilt.

Screenshot of the Logic App U I and a sample logic app.

Kehren Sie nach dem Definieren Ihrer Logik-App zum Bereich zur Definition der Workflowautomatisierung („Workflowautomatisierung hinzufügen“) zurück. Wählen Sie Aktualisieren aus, um sicherzustellen, dass Ihre neue Logik-App ausgewählt werden kann.

Wählen Sie die Logik-App aus, und speichern Sie die Automatisierung. In der Dropdownliste „Logik-App“ werden nur Logik-Apps angezeigt, die die oben erwähnten Defender für Cloud-Connectors unterstützen.

Manuelles Auslösen einer Logik-App

Sie können Logic Apps auch manuell ausführen, wenn Sie sich eine beliebige Sicherheitswarnung oder -empfehlung ansehen.

Um eine Logik-App manuell auszuführen, öffnen Sie eine Warnung oder Empfehlung und wählen die Option „Logik-App auslösen“ aus.