Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação das partes interessadas relevantes, o início de um processo de gerenciamento de alterações e a aplicação de etapas específicas de correção.
Os especialistas em segurança recomendam que você automatize o maior número possível de etapas de procedimentos de segurança. A automação reduz as despesas gerais. Ele também pode melhorar sua segurança, garantindo que as etapas do processo sejam feitas de forma rápida, consistente e de acordo com seus requisitos predefinidos.
Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender for Cloud. Esse recurso pode acionar aplicativos lógicos de consumo em alertas de segurança, recomendações e alterações na conformidade regulamentar. Por exemplo, talvez você queira que o Defender for Cloud envie um e-mail para um usuário específico quando ocorrer um alerta. Você também aprenderá a criar aplicativos lógicos usando os Aplicativos Lógicos do Azure.
Pré-requisitos
Antes de começar:
Você precisa ter a função de administrador de segurança ou Proprietário no grupo de recursos.
Você deve ter permissões de gravação para o recurso de destino.
Para trabalhar com fluxos de trabalho de Aplicativos Lógicos do Azure, você deve ter as seguintes funções ou permissões de Aplicativos Lógicos:
- As permissões de Operador do Aplicativo Lógico são necessárias, ou então é necessário ter acesso de leitura ou de acionamento ao Aplicativo Lógico. Os usuários com essa função não podem criar ou editar aplicativos lógicos. Eles só podem executar os existentes.
- As permissões de Colaborador do Aplicativo Lógico são necessárias para a criação e modificação do aplicativo lógico.
Se você quiser usar conectores de aplicativos lógicos, talvez precise de outras credenciais para entrar em seus respetivos serviços (por exemplo, suas instâncias do Outlook, Teams ou Slack).
Criar um aplicativo lógico e definir quando ele deve ser executado automaticamente
Siga estes passos:
Na barra lateral do Defender for Cloud, selecione Automação do fluxo de trabalho.
Nesta página, você pode criar novas regras de automação ou ativar, desabilitar ou excluir as existentes. Um escopo refere-se à subscrição onde a automação do fluxo de trabalho é implementada.
Para definir um novo fluxo de trabalho, selecione Adicionar automação de fluxo de trabalho. O painel de opções para sua nova automação é aberto.
Insira o seguinte:
- Um nome e uma descrição para a automação.
- Os gatilhos que iniciam esse fluxo de trabalho automático. Por exemplo, talvez você queira que seu aplicativo lógico seja executado quando for gerado um alerta de segurança que contenha a frase SQL.
Especifique o aplicativo de lógica de consumo que será executado quando as condições de gatilho forem atendidas.
Na seção Ações , selecione visitar a página Aplicativos lógicos para iniciar o processo de criação de um aplicativo lógico.
Você é levado para o Azure Logic Apps.
Selecione (+) Adicionar.
Preencha todos os campos obrigatórios e selecione Rever + Criar.
A mensagem Implantação está em andamento é exibida. Aguarde até que a notificação Implantação concluída apareça e selecione Ir para recurso.
Reveja as informações que introduziu e, em seguida, selecione Criar.
Em seu novo aplicativo lógico, você pode escolher entre modelos internos predefinidos da categoria de segurança. Ou você pode definir um fluxo personalizado de eventos que ocorrem quando esse processo é acionado.
Sugestão
Às vezes, os parâmetros são incluídos em um aplicativo lógico no conector como parte de uma cadeia de caracteres e não em seu próprio campo. Para obter um exemplo de como extrair parâmetros, consulte a etapa 14 de Trabalhando com parâmetros de aplicativo lógico ao criar automações de fluxo de trabalho do Microsoft Defender for Cloud.
Gatilhos suportados
O designer de aplicativo lógico suporta os seguintes gatilhos do Defender for Cloud:
Quando uma recomendação do Microsoft Defender for Cloud é criada ou acionada: se seu aplicativo lógico depender de uma recomendação que é preterida ou substituída, sua automação para de funcionar e você precisa atualizar o gatilho. Para controlar as alterações nas recomendações, use as notas de versão.
Quando um alerta do Defender for Cloud é criado ou acionado: você pode personalizar o gatilho para que ele se relacione apenas a alertas com os níveis de gravidade que lhe interessam.
Quando uma avaliação de conformidade regulatória do Defender for Cloud é criada ou acionada: você deseja acionar automações com base em atualizações para avaliações de conformidade regulatória.
Observação
Se você estiver usando o gatilho herdado Quando uma resposta a um alerta do Microsoft Defender for Cloud é disparada, o recurso de Automação do Fluxo de Trabalho não abre seus aplicativos lógicos. Em vez disso, use qualquer um dos gatilhos mencionados anteriormente.
Depois de definir seu aplicativo lógico, retorne ao painel Adicionar automação do fluxo de trabalho .
Selecione Atualizar para garantir que seu novo aplicativo lógico esteja disponível para seleção.
Selecione seu aplicativo lógico e salve a automação. O menu suspenso mostra apenas aplicativos lógicos que têm conectores compatíveis com o Defender for Cloud.
Acionar manualmente um aplicativo lógico
Também pode executar manualmente aplicações lógicas quando visualiza qualquer alerta ou recomendação de segurança.
Para executar manualmente um aplicativo lógico, abra um alerta ou uma recomendação e selecione Aplicativo lógico de gatilho.
Configurar a automação do fluxo de trabalho em escala
Quando você automatiza os processos de monitoramento e resposta a incidentes da sua organização, o tempo necessário para investigar e mitigar incidentes de segurança pode melhorar consideravelmente.
Para implantar suas configurações de automação em sua organização, use as políticas de Política DeployIfNotExist do Azure fornecidas (mencionadas posteriormente) para criar e configurar procedimentos de automação de fluxo de trabalho.
Comece a usar modelos de automação de fluxo de trabalho.
Para implementar estas políticas:
Na tabela a seguir, selecione a política que deseja aplicar:
Objetivo Policy ID da Política Automação do fluxo de trabalho para alertas de segurança Implementar a Automatização de Fluxo de Trabalho para alertas do Microsoft Defender para Cloud f1525828-9a90-4fcf-be48-268cdd02361e Automação do fluxo de trabalho para recomendações de segurança Implementar a Automatização de Fluxo de Trabalho para recomendações do Microsoft Defender para Cloud 73d6ab6c-2475-4850-afd6-43795f3492ef Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a automação do fluxo de trabalho para conformidade regulatória do Microsoft Defender for Cloud 509122b9-ddd9-47ba-a5f1-d0dac20be63c Você também pode encontrar políticas pesquisando Política do Azure. Na Política do Azure, selecione Definições e pesquise-as pelo nome.
Na página Política do Azure relevante, selecione Atribuir.
Na guia Noções básicas , defina o escopo da política. Para usar o gerenciamento centralizado, atribua a política ao Grupo de Gerenciamento que contém as assinaturas que usam a configuração de automação do fluxo de trabalho.
Na guia Parâmetros , insira as informações necessárias.
(Opcional) Aplique essa atribuição a uma assinatura existente na guia Correção e selecione a opção para criar uma tarefa de correção.
Reveja a página de resumo e, em seguida, selecione Criar.
Esquemas de tipos de dados
Para exibir os esquemas de eventos brutos dos alertas de segurança ou eventos de recomendações que são passados para o aplicativo lógico, vá para os esquemas de tipos de dados para automação do fluxo de trabalho. Esse processo pode ser útil nos casos em que você não está usando os conectores de aplicativos lógicos integrados do Defender for Cloud (mencionados anteriormente), mas em vez disso está usando o conector HTTP genérico. Você pode usar o esquema JSON de evento para analisá-lo manualmente como achar melhor.