Create en meddelelsesregel, når der bruges et lokalt onboarding- eller offboarding-script
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Create en meddelelsesregel, så du får besked, når der bruges et lokalt onboarding- eller offboarding-script.
Før du begynder
Du skal have adgang til:
- Power Automate (plan pr. bruger som minimum). Du kan finde flere oplysninger på siden med Power Automate-priser.
- Azure Table eller SharePoint-liste eller bibliotek/SQL DB.
Create meddelelsesflowet
Naviger til Mine flow > Ny > planlagt – fra bunden.
Opret et planlagt flow.
- Angiv et flownavn.
- Angiv start- og klokkeslætsformat.
- Angiv hyppigheden. For eksempel hvert 5. minut.
Vælg knappen + for at tilføje en ny handling. Den nye handling er en HTTP-anmodning til API'en for Defender for Endpoint-enheder. Du kan også erstatte den med den indbyggede WDATP-connector (handling: Maskiner – hent liste over maskiner).
Angiv følgende HTTP-felter:
- Metode: GET som en værdi for at hente listen over enheder.
- URI: Angiv
https://api.securitycenter.microsoft.com/api/machines
. - Godkendelse: Vælg Active Directory OAuth.
- Lejer: Log påhttps://portal.azure.com, og naviger til Microsoft Entra ID > appregistreringer, og hent lejer-id-værdien.
- Publikum:
https://securitycenter.onmicrosoft.com/windowsatpservice\
- Klient-id: Log påhttps://portal.azure.com, og naviger til Microsoft Entra ID > appregistreringer, og hent værdien for klient-id'et.
- Type af legitimationsoplysninger: Vælg Hemmelighed.
- Hemmelighed: Log påhttps://portal.azure.com, og naviger til Microsoft Entra ID > appregistreringer, og hent værdien for lejer-id'et.
Tilføj et nyt trin ved at vælge Tilføj ny handling , søg derefter efter Datahandlinger , og vælg For fortolkning af JSON.
Tilføj Brødtekst i feltet Indhold .
Vælg linket Brug eksempelnyttedata til at generere skema .
Kopiér og indsæt følgende JSON-kodestykke:
{ "type": "object", "properties": { "@@odata.context": { "type": "string" }, "value": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "computerDnsName": { "type": "string" }, "firstSeen": { "type": "string" }, "lastSeen": { "type": "string" }, "osPlatform": { "type": "string" }, "osVersion": {}, "lastIpAddress": { "type": "string" }, "lastExternalIpAddress": { "type": "string" }, "agentVersion": { "type": "string" }, "osBuild": { "type": "integer" }, "healthStatus": { "type": "string" }, "riskScore": { "type": "string" }, "exposureScore": { "type": "string" }, "aadDeviceId": {}, "machineTags": { "type": "array" } }, "required": [ "id", "computerDnsName", "firstSeen", "lastSeen", "osPlatform", "osVersion", "lastIpAddress", "lastExternalIpAddress", "agentVersion", "osBuild", "healthStatus", "rbacGroupId", "rbacGroupName", "riskScore", "exposureScore", "aadDeviceId", "machineTags" ] } } } }
Udtræk værdierne fra JSON-kaldet, og kontrollér, om de onboardede enheder er/allerede er registreret på SharePoint-listen som et eksempel:
- Hvis ja, udløses der ingen meddelelse
- Hvis nej, registrerer de nyligt onboardede enheder på SharePoint-listen, og der sendes en meddelelse til Defender for Endpoint-administratoren
Tilføj følgende udtryk under Betingelse: "length(body('Get_items')?[' value'])" og angive betingelsen til at være lig med 0.
Besked
Følgende billede er et eksempel på en mailmeddelelse.
Tips
Du kan filtrere her ved kun at bruge lastSeen:
- Hvert 60. minut:
- Tag alle enheder, der sidst er set i løbet af de seneste syv dage.
- Hvert 60. minut:
For hver enhed:
- Hvis egenskaben sidst set er på 1-times interval på [-7 dage, -7 dage + 60 minutter] –> besked om mulighed for offboarding.
- Hvis først set er på den seneste time –> Besked om onboarding.
I denne løsning har du ikke dublerede beskeder.
Der er lejere, der har mange enheder. Det kan kræve sideinddeling at hente alle disse enheder.
Du kan opdele den i to forespørgsler:
Ved offboarding skal du kun bruge dette interval ved hjælp af OData-$filter og kun give besked, hvis betingelserne er opfyldt.
Tag alle enheder, der sidst er set inden for den seneste time, og kontrollér den første sete egenskab for dem (hvis den første sete egenskab er på den seneste time, skal den sidst sete også være der).
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om