Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Defender for Cloud Apps proporciona opciones de gobernanza predefinidas para las directivas, como suspender un usuario o hacer que un archivo sea privado. Con la integración nativa con Microsoft Power Automate, puede usar un gran ecosistema de conectores de software como servicio (SaaS) para crear flujos de trabajo con el fin de automatizar procesos, incluida la corrección.
Por ejemplo, al detectar una posible amenaza de malware, puede usar flujos de trabajo para iniciar Microsoft Defender para punto de conexión acciones de corrección, como ejecutar un examen antivirus o aislar un punto de conexión.
En este tutorial, aprenderá a configurar una acción de gobernanza de directivas para usar un flujo de trabajo para ejecutar un examen antivirus en un punto de conexión donde un usuario muestre signos de comportamiento sospechoso:
Nota:
Estos flujos de trabajo solo son relevantes para las directivas que contienen la actividad del usuario. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o de OAuth.
Si no tiene un plan de Power Automate, regístrese para obtener una cuenta de evaluación gratuita.
Requisitos previos
- Debe tener un plan de Microsoft Power Automate válido.
- Debe tener un plan de Microsoft Defender para punto de conexión válido.
- El entorno de Power Automate debe estar Microsoft Entra ID sincronizado, Defender para punto de conexión supervisado y unido a un dominio
Fase 1: Generación de un token de API de Defender for Cloud Apps
Nota:
Si anteriormente ha creado un flujo de trabajo con un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.
En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
En Sistema, elija Tokens de API.
Seleccione +Agregar token para generar un nuevo token de API.
En el elemento emergente Generar nuevo token , escriba el nombre del token (por ejemplo, "Flow-Token") y, a continuación, seleccione Generar.
Una vez generado el token, seleccione el icono de copia situado a la derecha del token generado y, a continuación, seleccione Cerrar. Necesitará el token más adelante.
Fase 2: Creación de un flujo para ejecutar un examen antivirus
Nota:
Si anteriormente ha creado un flujo con un conector de Defender para punto de conexión, Power Automate reutiliza automáticamente el conector y puede omitir el paso Iniciar sesión .
Vaya al portal de Power Automate y seleccione Plantillas.
Busque Defender for Cloud Apps y seleccione Ejecutar examen antivirus con Windows Defender en Defender for Cloud Apps alertas.
En la lista de aplicaciones, en la fila en la que aparece Microsoft Defender para punto de conexión conector, seleccione Iniciar sesión.
Fase 3: Configuración del flujo
Nota:
Si ha creado previamente un flujo mediante un conector de Microsoft Entra, Power Automate reutiliza automáticamente el token y puede omitir este paso.
En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Apps, seleccione Crear.
En el Defender for Cloud Apps elemento emergente, escriba el nombre de conexión (por ejemplo, "token de Defender for Cloud Apps"), pegue el token de API que copió y, a continuación, seleccione Crear.
En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD , seleccione Iniciar sesión.
En el elemento emergente HTTP con Azure AD , en los campos URL de recurso base y URI de recurso de Azure AD , escriba
https://graph.microsoft.com
y, a continuación, seleccione Iniciar sesión y escriba las credenciales de administrador que desea usar con el conector HTTP con Azure AD.Seleccione Continuar.
Una vez que todos los conectadores se conecten correctamente, en la página del flujo, en Aplicar a cada dispositivo, modifique opcionalmente el tipo de comentario y examen y, a continuación, seleccione Guardar.
Fase 4: Configuración de una directiva para ejecutar el flujo
En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.
En la lista de directivas, en la fila donde aparece la directiva pertinente, elija los tres puntos al final de la fila y, a continuación, elija Editar directiva.
En Alertas, seleccione Enviar alertas a Power Automate y, a continuación, seleccione Ejecutar examen antivirus con Windows Defender en una alerta de Defender for Cloud Apps.
Ahora todas las alertas que se generan para esta directiva iniciarán el flujo para ejecutar el examen antivirus.
Puede usar los pasos de este tutorial para crear una amplia gama de acciones basadas en flujos de trabajo para ampliar Defender for Cloud Apps funcionalidades de corrección, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo de Defender for Cloud Apps predefinidos, en Power Automate, busque "Defender for Cloud Apps".