Freigeben über


Verwenden des Power Automate-Connectors zum Einrichten eines Flows für Ereignisse

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Die Automatisierung von Sicherheitsverfahren ist eine Standardanforderung für jedes moderne Security Operations Center (SOC). Damit SOC-Teams auf die effizienteste Weise arbeiten können, ist Automatisierung ein Muss. Verwenden Sie Microsoft Power Automate, um automatisierte Workflows zu erstellen und innerhalb weniger Minuten eine End-to-End-Prozedurautomatisierung zu erstellen. Microsoft Power Automate unterstützt verschiedene Connectors, die genau dafür erstellt wurden.

Verwenden Sie diesen Artikel, um Sie beim Erstellen von Automatisierungen zu unterstützen, die durch ein Ereignis ausgelöst werden, z. B. wenn eine neue Warnung in Ihrem Mandanten erstellt wird. Microsoft Defender API verfügt über einen offiziellen Power Automate-Connector mit vielen Funktionen.

Seite

Hinweis

Weitere Informationen zu den Lizenzierungsvoraussetzungen für Premium-Connectors finden Sie unter Lizenzierung für Premium-Connectors.

Verwendungsbeispiel

Im folgenden Beispiel wird veranschaulicht, wie Sie einen Flow erstellen, der immer dann ausgelöst wird, wenn auf Ihrem Mandanten eine neue Warnung auftritt. Sie werden dabei erfahren, welches Ereignis den Flow startet und welche Nächste Aktion ausgeführt wird, wenn dieser Trigger auftritt.

  1. Melden Sie sich bei Microsoft Power Automate an.

  2. Wechseln Sie zu Meine Flows>Neu>Automatisch aus leer.

    Der Bereich

  3. Wählen Sie einen Namen für Ihren Flow aus, suchen Sie nach "Microsoft Defender ATP-Trigger" als Trigger, und wählen Sie dann den neuen Warnungstrigger aus.

    Der Abschnitt Auswählen des Triggers ihres Flows im Microsoft Defender 365-Portal

Jetzt verfügen Sie über einen Flow, der jedes Mal ausgelöst wird, wenn eine neue Warnung auftritt.

Eine Triggerbeschreibung

Alles, was Sie jetzt tun müssen, ist, Ihre nächsten Schritte auszuwählen. Beispielsweise können Sie das Gerät isolieren, wenn der Schweregrad der Warnung hoch ist, und eine E-Mail senden. Der Warnungstrigger stellt nur die Warnungs-ID und die Computer-ID bereit. Sie können den Connector verwenden, um diese Entitäten zu erweitern.

Abrufen der Warnungsentität mithilfe des Connectors

  1. Wählen Sie Microsoft Defender ATP für den neuen Schritt aus.

  2. Wählen Sie Warnungen – Einzelne Warnungs-API abrufen aus.

  3. Legen Sie die Warnungs-ID aus dem letzten Schritt auf Eingabe fest.

    Bereich

Isolieren des Geräts, wenn der Schweregrad der Warnung hoch ist

  1. Fügen Sie Bedingung als neuen Schritt hinzu.

  2. Überprüfen Sie, ob der Schweregrad der Warnung gleich Hoch ist .

    Wenn ja, fügen Sie die Aktion Microsoft Defender ATP – Computer isolieren mit der Computer-ID und einem Kommentar hinzu.

    Bereich

  3. Fügen Sie einen neuen Schritt für die E-Mail-Nachricht zur Warnung und isolation hinzu. Es gibt mehrere E-Mail-Connectors, die einfach zu verwenden sind, z. B. Outlook oder Gmail.

  4. Speichern Sie Ihren Flow.

Sie können auch einen geplanten Flow erstellen, der Erweiterte Hunting-Abfragen und vieles mehr ausführt.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.