Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir notificar os stakeholders relevantes, iniciar um processo de gerenciamento de alterações e aplicar etapas de correção específicas.
Especialistas em segurança recomendam que você automatize o máximo de etapas de procedimentos de segurança possível. A automação reduz a sobrecarga. Ele também pode melhorar sua segurança garantindo que as etapas do processo sejam feitas de forma rápida, consistente e de acordo com seus requisitos predefinidos.
Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender para Nuvem. Esse recurso pode disparar aplicativos lógicos de consumo sobre alertas de segurança, recomendações e alterações na conformidade regulatória. Por exemplo, talvez você queira que o Defender para Nuvem envie um email a um usuário específico quando ocorrer um alerta. Você também aprenderá a criar aplicativos lógicos usando os Aplicativos Lógicos do Azure.
Pré-requisitos
Antes de começar:
Você precisa ter a função de administrador de segurança ou Proprietário no grupo de recursos.
Você deve ter permissões de gravação para o recurso de destino.
Para trabalhar com fluxos de trabalho dos Aplicativos Lógicos do Azure, você deve ter as seguintes funções ou permissões dos Aplicativos Lógicos:
- As permissões do Operador de Aplicativo Lógico são obrigatórias ou o Aplicativo Lógico lê ou dispara o acesso. Os usuários com essa função não podem criar ou editar aplicativos lógicos. Elas só podem executar os existentes.
- As permissões de Colaborador do Aplicativo Lógico são necessárias para a criação e modificação do aplicativo lógico.
Se você quiser usar conectores de Aplicativos Lógicos, talvez precise de outras credenciais para entrar em seus respectivos serviços (por exemplo, suas instâncias do Outlook, do Teams ou do Slack).
Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente
Siga estas etapas:
Na barra lateral do Defender para Nuvem, selecione automação de fluxo de trabalho.
Nesta página, você pode criar novas regras de automação ou habilitar, desabilitar ou excluir as existentes. Um escopo refere-se à assinatura em que a automação do fluxo de trabalho é implantada.
Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho. O painel de opções para sua nova automação é aberto.
Insira o seguinte:
- Um nome e uma descrição para a automação.
- Os gatilhos que iniciam esse fluxo de trabalho automático. Por exemplo, talvez você queira que seu aplicativo lógico seja executado quando um alerta de segurança é gerado que contém a frase SQL.
Especifique o aplicativo lógico de consumo que será executado quando suas condições de gatilho forem atendidas.
Na seção Ações , selecione visitar a página Aplicativos Lógicos para iniciar o processo para criar um aplicativo lógico.
Você é levado para o Azure Logic Apps.
Selecione (+) Adicionar.
Preencha todos os campos necessários e selecione Examinar + Criar.
A mensagem implantação está em andamento aparece. Aguarde até que a notificação Implantação completa seja exibida e selecione Ir para o recurso.
Examine as informações inseridas e selecione Criar.
Em seu novo aplicativo lógico, você pode escolher entre modelos internos e predefinidos na categoria de segurança. Ou você pode definir um fluxo personalizado de eventos que ocorrem quando esse processo é disparado.
Dica
Às vezes, os parâmetros são incluídos em um aplicativo lógico no conector como parte de uma cadeia de caracteres e não em seu próprio campo. Para obter um exemplo de como extrair parâmetros, consulte a etapa 14 de Trabalhar com parâmetros de aplicativo lógico ao criar automações de fluxo de trabalho do Microsoft Defender para Nuvem.
Gatilhos com suporte
O designer de aplicativo lógico dá suporte aos seguintes gatilhos do Defender para Nuvem:
Quando uma recomendação do Microsoft Defender para Nuvem é criada ou disparada: se o aplicativo lógico depender de uma recomendação que seja preterida ou substituída, sua automação deixará de funcionar e você precisará atualizar o gatilho. Para controlar as alterações nas recomendações, use as notas de versão.
Quando um Alerta do Defender para Nuvem é criado ou disparado: você pode personalizar o gatilho para que ele se relacione apenas com alertas com os níveis de severidade que lhe interessam.
Quando uma avaliação de conformidade regulatória do Defender para Nuvem é criada ou disparada: você deseja disparar automações com base em atualizações para avaliações de conformidade regulatória.
Observação
Se você estiver usando o gatilho herdado Quando uma resposta a um alerta do Microsoft Defender para Nuvem for disparada, o recurso de automação de fluxos de trabalho não abrirá seus Logic Apps. Em vez disso, use qualquer um dos gatilhos mencionados anteriormente.
Depois de definir seu aplicativo lógico, retorne ao painel Adicionar automação de fluxo de trabalho .
Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.
Selecione seu aplicativo lógico e salve a automação. O menu suspenso mostra apenas aplicativos lógicos que têm suporte para os conectores do Defender para Nuvem.
Disparar manualmente um aplicativo lógico
Você também pode executar aplicativos lógicos manualmente ao exibir qualquer alerta ou recomendação de segurança.
Para executar manualmente um aplicativo lógico, abra um alerta ou uma recomendação e selecione Disparar aplicativo lógico.
Configurar a automação de fluxo de trabalho em escala
Quando você automatiza os processos de monitoramento e resposta a incidentes da sua organização, o tempo necessário para investigar e mitigar incidentes de segurança pode melhorar muito.
Para implantar suas configurações de automação em sua organização, use as políticas fornecidas do Azure Policy DeployIfNotExist (mencionadas posteriormente) para criar e configurar procedimentos de automação de fluxo de trabalho.
Introdução aos modelos de automação de fluxo de trabalho.
Para implementar essas políticas:
Na tabela a seguir, selecione a política que você deseja aplicar:
Goal Policy ID da política Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas do Microsoft Defender para Nuvem f1525828-9a90-4fcf-be48-268cdd02361e Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações do Microsoft Defender para Nuvem 73d6ab6c-2475-4850-afd6-43795f3492ef Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a Automação de Fluxo de Trabalho para conformidade regulatória do Microsoft Defender para Nuvem 509122b9-ddd9-47ba-a5f1-d0dac20be63c Você também pode encontrar políticas pesquisando o Azure Policy. No Azure Policy, selecione Definições e pesquise-as pelo nome.
Na página relevante do Azure Policy, selecione Atribuir.
Na guia Noções básicas , defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao Grupo de Gerenciamento que contém as assinaturas que usam a configuração de automação de fluxo de trabalho.
Na guia Parâmetros, insira as informações necessárias.
(Opcional) Aplique essa atribuição a uma assinatura existente na guia Correção e selecione a opção para criar uma tarefa de correção.
Examine a página de resumo e selecione Criar.
Esquemas de tipos de dados
Para exibir os esquemas de eventos brutos dos eventos de alertas de segurança ou recomendações que são passados para o aplicativo lógico, vá para os esquemas de tipos de dados para automação de fluxo de trabalho. Esse processo pode ser útil em casos em que você não está usando os conectores de Aplicativos Lógicos internos do Defender para Nuvem (mencionados anteriormente), mas, em vez disso, estão usando o conector HTTP genérico. Você pode usar o esquema JSON do evento para analisá-lo manualmente conforme achar melhor.