Editar

Partilhar via


Automatize as respostas de correção

Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Estes processos poderão incluir o envio de notificações para os intervenientes relevantes, a iniciação de um processo de gestão de alterações e a aplicação de medidas específicas de remediação. Os especialistas em segurança recomendam que automatize o número máximo de passos possível desses procedimentos. A automação reduz as despesas gerais. Ele também pode melhorar sua segurança, garantindo que as etapas do processo sejam feitas de forma rápida, consistente e de acordo com seus requisitos predefinidos.

Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender for Cloud. Esse recurso pode acionar aplicativos lógicos de consumo em alertas de segurança, recomendações e alterações na conformidade regulamentar. Por exemplo, talvez você queira que o Defender for Cloud envie um e-mail para um usuário específico quando ocorrer um alerta. Você também aprenderá a criar aplicativos lógicos usando os Aplicativos Lógicos do Azure.

Pré-requisitos

Antes de começar:

  • Você precisa da função de administrador de segurança ou Proprietário no grupo de recursos.

  • Você também deve ter permissões de gravação para o recurso de destino.

  • Para trabalhar com fluxos de trabalho de Aplicativos Lógicos do Azure, você também deve ter as seguintes funções/permissões de Aplicativos Lógicos:

  • Se você quiser usar conectores de aplicativos lógicos, talvez precise de outras credenciais para entrar em seus respetivos serviços (por exemplo, suas instâncias do Outlook/Teams/Slack).

Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente

Siga estes passos:

  1. Na barra lateral do Defender for Cloud, selecione Automação do fluxo de trabalho.

    Captura de tela da página de automação do fluxo de trabalho mostrando a lista de automações definidas.

  2. Nesta página, crie novas regras de automação, ative, desative ou exclua as existentes. Um escopo refere-se à assinatura na qual a automação do fluxo de trabalho é implantada.

  3. Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho. O painel de opções para sua nova automação é aberto.

    Adicionar painel de automações de fluxo de trabalho.

  4. Introduza o seguinte:

    • Um nome e uma descrição para a automação.
    • Os gatilhos que iniciarão esse fluxo de trabalho automático. Por exemplo, você pode querer que seu aplicativo lógico seja executado quando um alerta de segurança que contém "SQL" for gerado.
  5. Especifique o aplicativo de lógica de consumo que será executado quando as condições de gatilho forem atendidas.

  6. Na seção Ações, selecione visitar a página Aplicativos lógicos para iniciar o processo de criação do aplicativo lógico.

    Captura de tela que mostra a seção de ações da tela adicionar automação de fluxo de trabalho e o link para visitar os Aplicativos Lógicos do Azure.

    Você será direcionado para os Aplicativos Lógicos do Azure.

  7. Selecione (+) Adicionar.

    Captura de tela de onde criar um aplicativo lógico.

  8. Preencha todos os campos obrigatórios e selecione Rever + Criar.

    A mensagem Implantação está em andamento é exibida. Aguarde até que a notificação de implantação concluída apareça e selecione Ir para recurso na notificação.

  9. Reveja as informações que introduziu e selecione Criar.

    Em seu novo aplicativo lógico, você pode escolher entre modelos internos predefinidos da categoria de segurança. Ou você pode definir um fluxo personalizado de eventos para ocorrer quando esse processo for acionado.

    Gorjeta

    Às vezes, em um aplicativo lógico, os parâmetros são incluídos no conector como parte de uma cadeia de caracteres e não em seu próprio campo. Para obter um exemplo de como extrair parâmetros, consulte a etapa #14 de Trabalhando com parâmetros de aplicativos lógicos ao criar automações de fluxo de trabalho do Microsoft Defender for Cloud.

Gatilhos suportados

O designer de aplicativo lógico suporta os seguintes gatilhos do Defender for Cloud:

  • Quando uma Recomendação do Microsoft Defender for Cloud é criada ou acionada - Se seu aplicativo lógico depender de uma recomendação que é preterida ou substituída, sua automação para de funcionar e você precisa atualizar o gatilho. Para controlar as alterações às recomendações, use as notas de versão.

  • Quando um alerta do Defender for Cloud é criado ou acionado - Você pode personalizar o gatilho para que ele se relacione apenas a alertas com os níveis de gravidade que lhe interessam.

  • Quando uma avaliação de conformidade regulatória do Defender for Cloud é criada ou acionada - Acione automações com base em atualizações para avaliações de conformidade regulatória.

Nota

Se você estiver usando o gatilho herdado Quando uma resposta a um alerta do Microsoft Defender for Cloud for disparada, seus aplicativos lógicos não serão iniciados pelo recurso Automação do Fluxo de Trabalho. Em vez disso, use qualquer um dos gatilhos mencionados acima.

  1. Depois de definir seu aplicativo lógico, retorne ao painel de definição de automação do fluxo de trabalho ("Adicionar automação do fluxo de trabalho").

  2. Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.

  3. Selecione seu aplicativo lógico e salve a automação. A lista suspensa do aplicativo lógico mostra apenas aqueles com conectores compatíveis com o Defender for Cloud mencionados acima.

Acionar manualmente um aplicativo lógico

Você também pode executar aplicativos lógicos manualmente ao visualizar qualquer alerta ou recomendação de segurança.

Para executar manualmente um aplicativo lógico, abra um alerta ou uma recomendação e selecione Acionar aplicativo lógico.

Acione manualmente um aplicativo lógico.

Configurar a automação do fluxo de trabalho em escala

Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.

Para implantar suas configurações de automação em sua organização, use as políticas fornecidas da Política do Azure 'DeployIfNotExist' descritas abaixo para criar e configurar procedimentos de automação de fluxo de trabalho.

Comece a usar modelos de automação de fluxo de trabalho.

Para implementar estas políticas:

  1. Na tabela abaixo, selecione a política que deseja aplicar:

    Goal Política ID da Política
    Automação do fluxo de trabalho para alertas de segurança Implementar a Automatização de Fluxo de Trabalho para alertas do Microsoft Defender para Cloud f1525828-9a90-4fcf-be48-268cdd02361e
    Automação do fluxo de trabalho para recomendações de segurança Implementar a Automatização de Fluxo de Trabalho para recomendações do Microsoft Defender para Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef
    Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a automação do fluxo de trabalho para conformidade regulatória do Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c

    Você também pode encontrá-los pesquisando Política do Azure. Na Política do Azure, selecione Definições e pesquise-as por nome.

  2. Na página Política do Azure relevante, selecione Atribuir. Atribuindo a Política do Azure.

  3. Na guia Noções básicas, defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao Grupo de Gerenciamento que contém as assinaturas que usarão a configuração de automação do fluxo de trabalho.

  4. Na guia Parâmetros, insira as informações necessárias.

    Captura de ecrã do separador parâmetros.

  5. Opcionalmente, aplique essa atribuição a uma assinatura existente na guia Correção e selecione a opção para criar uma tarefa de correção.

  6. Reveja a página de resumo e selecione Criar.

    Esquemas de tipos de dados

    Para exibir os esquemas de eventos brutos dos alertas de segurança ou eventos de recomendações passados para o aplicativo lógico, visite os esquemas de tipos de dados de automação de fluxo de trabalho. Isso pode ser útil nos casos em que você não está usando os conectores internos de aplicativos lógicos do Defender for Cloud mencionados acima, mas em vez disso está usando o conector HTTP genérico - você pode usar o esquema JSON de evento para analisá-lo manualmente como achar melhor.