Kurz: Rozšíření zásad správného řízení na nápravu koncových bodů

  • Článek

Defender for Cloud Apps poskytuje předdefinované možnosti zásad správného řízení, jako je pozastavení uživatele nebo nastavení souboru jako soukromé. Pomocí nativní integrace s Microsoft Power Automate můžete použít rozsáhlý ekosystém konektorů saaS (software jako služba) k vytváření pracovních postupů pro automatizaci procesů včetně nápravy.

Když například zjistíte možnou malwarovou hrozbu, můžete pomocí pracovních postupů spustit akce nápravy v programu Microsoft Defender for Endpoint, jako je spuštění antivirové kontroly nebo izolování koncového bodu.

V tomto kurzu se dozvíte, jak nakonfigurovat akci zásad správného řízení tak, aby používala pracovní postup ke spuštění antivirové kontroly na koncovém bodu, kde uživatel zobrazuje známky podezřelého chování:

Poznámka:

Tyto pracovní postupy jsou relevantní pouze pro zásady, které obsahují aktivity uživatelů. Tyto pracovní postupy například nemůžete používat se zásadami zjišťování nebo OAuth.

Pokud nemáte plán Power Automate, zaregistrujte si bezplatný zkušební účet.

Požadavky

  • Musíte mít platný plán Microsoft Power Automate.
  • Musíte mít platný plán Microsoft Defenderu for Endpoint.
  • Prostředí Power Automate musí být synchronizované ID Microsoft Entra, monitorovaný defender pro koncový bod a připojený k doméně.

Fáze 1: Vygenerování tokenu rozhraní API Defenderu for Cloud Apps

Poznámka:

Pokud jste dříve vytvořili pracovní postup pomocí konektoru Defender for Cloud Apps, Power Automate token automaticky znovu použije a tento krok můžete přeskočit.

  1. Na portálu Microsoft Defender vyberte Nastavení. Pak zvolte Cloud Apps.

  2. V části Systém zvolte tokeny rozhraní API.

  3. Vyberte +Přidat token a vygenerujte nový token rozhraní API.

  4. V automaticky otevírané nabídce Vygenerovat nový token zadejte název tokenu (například Flow-Token) a pak vyberte Generovat.

    Screenshot of the token window, showing the name entry and generate button.

  5. Po vygenerování tokenu vyberte ikonu kopírování napravo od vygenerovaného tokenu a pak vyberte Zavřít. Token budete potřebovat později.

    Screenshot of the token window, showing the token and the copy process.

Fáze 2: Vytvoření toku pro spuštění antivirové kontroly

Poznámka:

Pokud jste dříve vytvořili tok pomocí konektoru Defenderu pro koncový bod, Power Automate konektor automaticky znovu použije a můžete přeskočit krok Přihlášení .

  1. Přejděte na portál Power Automate a vyberte Šablony.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Vyhledejte Defender for Cloud Apps a vyberte Spustit antivirovou kontrolu pomocí programu Windows Defender v programu Defender for Cloud Apps.

    Screenshot of the templates Power Automate page, showing the search results.

  3. V seznamu aplikací vyberte na řádku, ve kterém se zobrazí konektor Microsoft Defender for Endpoint, možnost Přihlásit se.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Fáze 3: Konfigurace toku

Poznámka:

Pokud jste dříve vytvořili tok pomocí konektoru Microsoft Entra, Power Automate token automaticky znovu použije a tento krok můžete přeskočit.

  1. V seznamu aplikací na řádku, ve kterém se zobrazí Defender for Cloud Apps , vyberte Vytvořit.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. V místní nabídce Defender for Cloud Apps zadejte název připojení (například Token Defender for Cloud Apps), vložte zkopírovaný token rozhraní API a pak vyberte Vytvořit.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. V seznamu aplikací vyberte na řádku, ve kterém se zobrazí HTTP s Azure AD, možnost Přihlásit se.

  4. V automaticky otevíraných oken HTTP pro adresu URL základního prostředku i identifikátor URI prostředku Azure AD zadejte https://graph.microsoft.compřihlašovací údaje správce, které chcete použít s konektorem Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Zvolte Pokračovat.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Po úspěšném připojení všech spojovacích zařízení na stránce toku v části Použít u každého zařízení volitelně upravte komentář a typ kontroly a pak vyberte Uložit.

    Screenshot of the flow page, showing the scan setting section.

Fáze 4: Konfigurace zásady pro spuštění toku

  1. Na portálu Microsoft Defender v části Cloud Apps přejděte do části Zásady –> Správa zásad.

  2. V seznamu zásad vyberte na řádku, na kterém se zobrazí příslušná zásada, tři tečky na konci řádku a pak zvolte Upravit zásadu.

  3. V části Výstrahy vyberte Možnost Odeslat upozornění do Power Automate a pak vyberte Spustit antivirovou kontrolu pomocí programu Windows Defender při upozornění Defenderu pro Cloud Apps.

    Screenshot of the policy page, showing the alerts settings section.

Teď každá výstraha vyvolaná pro tuto zásadu zahájí tok, aby se spustila antivirová kontrola.

Pomocí kroků v tomto kurzu můžete vytvořit širokou škálu akcí založených na pracovních postupech pro rozšíření možností nápravy Defenderu for Cloud Apps, včetně dalších akcí Defenderu pro koncové body. Pokud chcete zobrazit seznam předdefinovaných pracovních postupů Defenderu for Cloud Apps, vyhledejte v Power Automate "Defender for Cloud Apps".

Viz také

Integrace s Power Automate pro vlastní automatizaci upozornění