Hello,

Dans cet article, je vous présente comment automatiser la réponse à des alertes de sécurité émises via l’aide ATP, ou encore comment automatiser des réponses à des recommandations de sécurité émises par Azure Security Center. Cette fonctionnalité est encore en pré-version, au moment où j’écris cet article.

Dans un premier temps, nous allons créer une Logic Apps, qui nous permettra d’envoyer un message sur notre channel de sécurité Slack.

Ensuite, afin d’activer cette fonctionnalité, je vous donne rendez-vous dans la console Azure Security Center. Je vous invite à sélectionner « Workflow automation » puis « Add workflow automation ».

Dans cet exemple, notre Logic Apps sera exécutée pour toutes les alertes possédant un niveau de sécurité de Medium ou High. Il est bien sûr possible d’effectuer des filtres sur des alertes spécifiques via le champs « Alert name contains ».

Une fois vos modifications réalisées, vous pouvez désormais constater la présence d’un nouveau workflow avec son statut « Enabled ».

Ci-dessous un exemple d’une notification Slack:

Avec l’aide des Logic Apps, il est tout à fait possible de créer des scénarios plus complexes, vous permettant d’exécuter des Azure Functions, afin d’automatiser votre réponse à incidents.

Maxime.