Sdílet prostřednictvím

Kurz: Rozšíření zásad správného řízení na nápravu koncových bodů

Defender for Cloud Apps poskytuje předdefinované možnosti zásad správného řízení pro zásady, jako je pozastavení uživatele nebo nastavení souboru jako soukromého. Pomocí nativní integrace s Microsoft Power Automate můžete pomocí rozsáhlého ekosystému konektorů SaaS (software jako služba) vytvářet pracovní postupy pro automatizaci procesů včetně nápravy.

Například při zjišťování možné malwarové hrozby můžete pomocí pracovních postupů spustit Microsoft Defender for Endpoint nápravné akce, jako je spuštění antivirové kontroly nebo izolace koncového bodu.

V tomto kurzu se dozvíte, jak nakonfigurovat akci zásad správného řízení tak, aby se pomocí pracovního postupu spustila antivirová kontrola na koncovém bodu, kde uživatel vykazuje známky podezřelého chování:

Poznámka

Tyto pracovní postupy jsou relevantní pouze pro zásady, které obsahují aktivity uživatelů. Tyto pracovní postupy například nemůžete použít se zásadami Zjišťování nebo OAuth.

Pokud nemáte plán Power Automate, zaregistrujte si bezplatný zkušební účet.

Požadavky

  • Musíte mít platný plán Microsoft Power Automate.
  • Musíte mít platný plán Microsoft Defender for Endpoint.
  • Prostředí Power Automate musí být Microsoft Entra ID synchronizované, musí být monitorované a připojené k doméně.

Fáze 1: Vygenerování tokenu rozhraní API Defender for Cloud Apps

Poznámka

Pokud jste dříve vytvořili pracovní postup pomocí konektoru Defender for Cloud Apps, Power Automate token automaticky znovu použije a tento krok můžete přeskočit.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Systém zvolte Tokeny rozhraní API.

  3. Vyberte + Přidat token a vygenerujte nový token rozhraní API.

  4. V automaticky otevírané nabídce Vygenerovat nový token zadejte název tokenu (například Flow-Token) a pak vyberte Vygenerovat.

    Snímek obrazovky s oknem tokenu s položkou názvu a tlačítkem pro vygenerování

  5. Po vygenerování tokenu vyberte ikonu kopírování napravo od vygenerovaného tokenu a pak vyberte Zavřít. Token budete potřebovat později.

    Snímek obrazovky s oknem tokenu s tokenem a procesem kopírování

Fáze 2: Vytvoření toku pro spuštění antivirové kontroly

Poznámka

Pokud jste dříve vytvořili tok pomocí konektoru Defenderu for Endpoint, Power Automate konektor automaticky znovu použije a krok Přihlášení můžete přeskočit.

  1. Přejděte na portál Power Automate a vyberte Šablony.

    Snímek obrazovky hlavní stránky Power Automate s výběrem šablon

  2. Vyhledejte Defender for Cloud Apps a vyberte Spustit antivirovou kontrolu pomocí programu Windows Defender v upozorněních na Defender for Cloud Apps.

    Snímek obrazovky se stránkou Power Automate pro šablony zobrazující výsledky hledání

  3. V seznamu aplikací na řádku, na kterém se zobrazí Microsoft Defender for Endpoint konektor, vyberte Přihlásit se.

    Snímek obrazovky se stránkou Šablony Power Automate zobrazující proces přihlášení

Fáze 3: Konfigurace toku

Poznámka

Pokud jste dříve vytvořili tok pomocí konektoru Microsoft Entra, Power Automate token automaticky znovu použije a tento krok můžete přeskočit.

  1. V seznamu aplikací na řádku, na kterém se zobrazí Defender for Cloud Apps, vyberte Vytvořit.

    Snímek obrazovky se stránkou Power Automate pro šablony zobrazující tlačítko Defender for Cloud Apps vytvořit

  2. Do automaticky otevíraného okna Defender for Cloud Apps zadejte název připojení (například Defender for Cloud Apps Token), vložte zkopírovaný token rozhraní API a pak vyberte Vytvořit.

    Snímek obrazovky s oknem Defender for Cloud Apps s názvem, položkou klíče a tlačítkem Vytvořit

  3. V seznamu aplikací na řádku, na kterém se zobrazí PROTOKOL HTTP s Azure AD, vyberte Přihlásit se.

  4. V automaticky otevírané nabídce HTTP s Azure AD zadejte https://graph.microsoft.comdo polí Adresa URL základního prostředku i Azure AD identifikátor URI prostředku a pak vyberte Přihlásit se a zadejte přihlašovací údaje správce, které chcete použít s konektorem HTTP s Azure AD.

    Snímek obrazovky s oknem HTTP s Azure AD, na kterém jsou pole Prostředků a tlačítko pro přihlášení

  5. Vyberte Pokračovat.

    Snímek obrazovky s oknem Power Automate pro šablony zobrazující tlačítko Dokončené akce a pokračovat

  6. Po úspěšném připojení všech spojovacích zařízení na stránce toku v části Použít u každého zařízení volitelně upravte komentář a typ kontroly a pak vyberte Uložit.

    Snímek obrazovky se stránkou toku a oddílem nastavení kontroly

Fáze 4: Konfigurace zásady pro spuštění toku

  1. Na portálu Microsoft Defender přejděte v části Cloudové aplikace na Zásady –>Správa zásad.

  2. V seznamu zásad vyberte na řádku, kde se příslušná zásada zobrazuje, tři tečky na konci řádku a pak zvolte Upravit zásadu.

  3. V části Výstrahy vyberte Odeslat upozornění do Power Automate a pak vyberte Spustit antivirovou kontrolu pomocí Programu Windows Defender při Defender for Cloud Apps upozornění.

    Snímek obrazovky se stránkou zásad zobrazující oddíl nastavení upozornění

Každé upozornění vyvolané pro tuto zásadu teď inicializuje tok pro spuštění antivirové kontroly.

Pomocí kroků v tomto kurzu můžete vytvořit širokou škálu akcí založených na pracovních postupech a rozšířit tak možnosti Defender for Cloud Apps nápravy, včetně dalších akcí Defenderu for Endpoint. Pokud chcete zobrazit seznam předdefinovaných pracovních postupů Defender for Cloud Apps, vyhledejte v Power Automate "Defender for Cloud Apps".

Viz také

Integrace s Power Automate pro vlastní automatizaci upozornění