Microsoft Defender for Cloud – Workflow automation

Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir notificar as partes interessadas relevantes, iniciar um processo de gerenciamento de mudanças e aplicar etapas específicas de remediação. Especialistas em segurança recomendam que você automatize o máximo de etapas desses procedimentos que puder. A automação reduz a sobrecarga. Ele também pode melhorar sua segurança, garantindo que as etapas do processo sejam feitas de forma rápida, consistente e de acordo com seus requisitos predefinidos.

Este artigo descreve o recurso de automação de fluxo de trabalho do Microsoft Defender for Cloud. Esse recurso pode acionar aplicativos lógicos em alertas de segurança, recomendações e alterações na conformidade normativa. Por exemplo, você pode querer que o Defender for Cloud envie um e-mail para um usuário específico quando um alerta ocorre.

Azure Logic Apps

O Azure Logic Apps é uma plataforma baseada em nuvem para criar e executar fluxos de trabalho automatizados que integram seus aplicativos, dados, serviços e sistemas. Com esta plataforma, você pode desenvolver rapidamente soluções de integração altamente escaláveis para seus cenários corporativos e de negócios para negócios (B2B). Como membro dos Serviços de Integração do Azure, o Azure Logic Apps simplifica a maneira como você conecta sistemas legados, modernos e de ponta em nuvem, em ambientes locais e híbridos.

A lista a seguir descreve apenas algumas tarefas de exemplo, processos de negócios e cargas de trabalho que você pode automatizar usando o serviço Azure Logic Apps:

  • Agende e envie notificações por e-mail usando o Office 365 quando um evento específico acontecer, por exemplo, um novo arquivo é carregado.
  • Rotas e processos pedidos de clientes em sistemas locais e serviços em nuvem.
  • Mova arquivos carregados de um servidor SFTP ou FTP para o Azure Storage.
  • Monitore tweets, analise o sentimento e crie alertas ou tarefas para itens que precisam de revisão.

01 – Faça login no portal do Azure.

02 – No portal do azure pesquise por Logic apps.

03 – Na tela Logic apps clique em + Add.

04 – Na tela Create Logic App selecione a assinatura, grupo de recursos, em Instance Details em Type selecione Consumption em Logic App name digite um nome para o recurso, em Region selecione a região de provisionamento, deixe a opção Enable log analytics como No, em seguida clique em Review + create.

Difrença entre o consumption e Standard.

Logic Apps (Consumption)

  1. É executado em ambiente multi-inquilino ou ambiente de serviço de integração dedicado (ISE) dentro do Microsoft Azure.
  2. Este é um modelo de preço pay-for-what-you-use.
  3. Os aplicativos lógicos criados por diferentes clientes em ambientes multi-inquilinos ou criados no mesmo ISE compartilharão o mesmo processamento (computação), armazenamento, rede e assim por diante.
  4. Um único Aplicativo Lógico pode ter apenas um fluxo de trabalho.
  5. Os históricos de Trigger and Run estão disponíveis no nível do Aplicativo Logic, pois há apenas um fluxo de trabalho.
  6. Os processos de longo prazo e stateful para fluxos de trabalho estão inerentemente disponíveis em Aplicativos lógicos.
  7. Alguns dos limites podem ser alterados se a opção existir para essa métrica.
  8. Pode ser importado para a Azure API Management.
  9. O desenvolvimento depende de um recurso de execução existente no Azure e a implantação depende de modelos ARM.
  10. As versões fornecem desenvolvimento suportado sem perturbar a produção.

Logic Apps (Standard)

  1. Este é um modelo de single-tenant, o que significa que não há compartilhamento de recursos como poder de computação para aplicativos lógicos de outros inquilinos.
  2. O preço é baseado em um plano de hospedagem com um nível de preços selecionado.
  3. Um tempo de execução portátil funciona em qualquer lugar (dentro do Azure, contêineres, on-prem, edge e outras nuvens) que o Azure Functions pode executar usando o tempo de execução do Azure Logic Apps de inquilino único.
  4. Um único Aplicativo Lógico pode ter vários fluxos de trabalho imponentes e apátridas.
  5. Permite que vários fluxos de trabalho sejam implantados em um único limite de computação do Logic App simplificando implantações automatizadas e pipelines de CI/CD.
  6. Fluxos de trabalho em um único Aplicativo Lógico e inquilino compartilham o mesmo processamento (computação), armazenamento, rede e assim por diante.
  7. Os fluxos de trabalho apátridas são executados completamente na memória que não precisa de armazenamento ou persistem entre as ações (não transfira dados para armazenamento externo, como fluxos de trabalho estatais) podem melhorar significativamente o desempenho para cenários de solicitação/resposta. Isso proporciona um desempenho mais rápido com tempos de resposta mais rápidos, maior rendimento e custos de execução reduzidos. Mas eles só poderiam funcionar por um tempo menor, digamos menos de 5 minutos e não como os fluxos de trabalho imponentes que poderiam funcionar literalmente por mais tempo. Quaisquer interrupções não podem ser restauradas automaticamente. Os aplicativos lógicos que fazem parte de qualquer chamada de API podem responder mais rapidamente com o uso de fluxos de trabalho apátridas.

05 – Na tela Review + create clique em Create

06 – Como podemos observar o recurso foi provisionado, clique em Go to resource.

07 – Na tela do Logic app security-flow em Development Tools clique em Logic app designer.

08 – Na tela security-flow | Logic app designer clique em Blank Logic App.

09 – Na tela security-flow | Logic app designer em search conenctores and triggers digite Security Center Recommendation, em seguida selecione Security Center Recommendation.

10 – Em seguida selecione When an Azure Security Center Recommendation is created or triggered.

11 – Na tela When an Azure Security Center Recommendation is created or triggered clique em + New step.

12 – Para a opção Choose an operation selecione Outlook.

13 – Para a opção Outlook.com em Actions selecione Send an email (V2).

14 – Na tela Outlook.com clique em Sign-in.

15 –

Após clicar em Sign-in a tela de login será aberta, adicione uma conta de email que enviara os e-mails do outlook.

16 – Em seguida vamos permitir que o Logic App acesse as informações da conta de email, clique em yes.

17 – Para a opção Send an email (V2) selecione qual o endereço de e-mail vai receber as recomendações de segurança do Microsoft Defender for Cloud, em Subject selecione um assunto para o e-mail, clique em Body a tela Dynamic content será aberta clique em See more.

Em Dynamic content selecione Properties Metadata Description, Properties Resurce Details Id, Properties Links e Properties Display Name.

18 – Após definir todas as configurações clique em Save.

19 – No portal do Azure pesquise por Microsoft Defender for Cloud.

20 – Na tela Microsoft Defender for Cloud clique em Workflow automation.

21 – Na tela Microsoft Defender for Cloud | Workflow automation clique em + Add workflow automation.

22 – A tela Add workflow automation será aberta, digite um nome “Recommendation-workflow” selecione a assinatura e grupo de recursos.

Ainda na tela Add workflow automation em Trigger conditions para a opção Defender for Cloud data type selecione Recommendation, para a opção Recommendation name podemos selecionar o tipo de recomendação ou todas as recomendações, selecione All recommendations selected, para a opção Recommendation severity podemos selecionar a gravidade da recomendação, selecione All severities selected e para a opção Recommendation state selecione All states selected.

Para a opção Actions selecione a assinatura onde o Logic App foi provisionado, em Logic App name selecione o Logic App desejado, em seguida clique em Create.

23 – Como podemos observar o Wokflow automation foi criado.

24 – Após alguns minutos recebe as recomendações do Microsoft Defender for Cloud em meu e-mail

Observação: A mensagem pode ser customizada de acordo com a sua necessidade.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.