Compartir a través de

Tutorial: Ampliación de la gobernanza a la corrección de puntos de conexión

Defender for Cloud Apps proporciona opciones de gobernanza predefinidas para las directivas, como suspender un usuario o hacer que un archivo sea privado. Con la integración nativa con Microsoft Power Automate, puede usar un gran ecosistema de conectores de software como servicio (SaaS) para crear flujos de trabajo con el fin de automatizar procesos, incluida la corrección.

Por ejemplo, al detectar una posible amenaza de malware, puede usar flujos de trabajo para iniciar Microsoft Defender para punto de conexión acciones de corrección, como ejecutar un examen antivirus o aislar un punto de conexión.

En este tutorial, aprenderá a configurar una acción de gobernanza de directivas para usar un flujo de trabajo para ejecutar un examen antivirus en un punto de conexión donde un usuario muestre signos de comportamiento sospechoso:

Nota:

Estos flujos de trabajo solo son relevantes para las directivas que contienen la actividad del usuario. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o de OAuth.

Si no tiene un plan de Power Automate, regístrese para obtener una cuenta de evaluación gratuita.

Requisitos previos

  • Debe tener un plan de Microsoft Power Automate válido.
  • Debe tener un plan de Microsoft Defender para punto de conexión válido.
  • El entorno de Power Automate debe estar Microsoft Entra ID sincronizado, Defender para punto de conexión supervisado y unido a un dominio

Fase 1: Generación de un token de API de Defender for Cloud Apps

Nota:

Si anteriormente ha creado un flujo de trabajo con un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.

  2. En Sistema, elija Tokens de API.

  3. Seleccione +Agregar token para generar un nuevo token de API.

  4. En el elemento emergente Generar nuevo token , escriba el nombre del token (por ejemplo, "Flow-Token") y, a continuación, seleccione Generar.

    Captura de pantalla de la ventana del token, en la que se muestra la entrada de nombre y el botón Generar.

  5. Una vez generado el token, seleccione el icono de copia situado a la derecha del token generado y, a continuación, seleccione Cerrar. Necesitará el token más adelante.

    Captura de pantalla de la ventana del token, en la que se muestra el token y el proceso de copia.

Fase 2: Creación de un flujo para ejecutar un examen antivirus

Nota:

Si anteriormente ha creado un flujo con un conector de Defender para punto de conexión, Power Automate reutiliza automáticamente el conector y puede omitir el paso Iniciar sesión .

  1. Vaya al portal de Power Automate y seleccione Plantillas.

    Captura de pantalla de la página principal de Power Automate, en la que se muestra la selección de plantillas.

  2. Busque Defender for Cloud Apps y seleccione Ejecutar examen antivirus con Windows Defender en Defender for Cloud Apps alertas.

    Captura de pantalla de la página plantillas de Power Automate, en la que se muestran los resultados de la búsqueda.

  3. En la lista de aplicaciones, en la fila en la que aparece Microsoft Defender para punto de conexión conector, seleccione Iniciar sesión.

    Captura de pantalla de la página plantillas de Power Automate, en la que se muestra el proceso de inicio de sesión.

Fase 3: Configuración del flujo

Nota:

Si ha creado previamente un flujo mediante un conector de Microsoft Entra, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Apps, seleccione Crear.

    Captura de pantalla de la página plantillas de Power Automate, en la que se muestra el botón crear Defender for Cloud Apps.

  2. En el Defender for Cloud Apps elemento emergente, escriba el nombre de conexión (por ejemplo, "token de Defender for Cloud Apps"), pegue el token de API que copió y, a continuación, seleccione Crear.

    Captura de pantalla de la ventana Defender for Cloud Apps, en la que se muestra el nombre y la entrada de clave y el botón Crear.

  3. En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD , seleccione Iniciar sesión.

  4. En el elemento emergente HTTP con Azure AD , en los campos URL de recurso base y URI de recurso de Azure AD , escriba https://graph.microsoft.comy, a continuación, seleccione Iniciar sesión y escriba las credenciales de administrador que desea usar con el conector HTTP con Azure AD.

    Captura de pantalla de la ventana HTTP con Azure AD, en la que se muestran los campos de recursos y el botón de inicio de sesión.

  5. Seleccione Continuar.

    Captura de pantalla de la ventana plantillas de Power Automate, en la que se muestran las acciones completadas y el botón Continuar.

  6. Una vez que todos los conectadores se conecten correctamente, en la página del flujo, en Aplicar a cada dispositivo, modifique opcionalmente el tipo de comentario y examen y, a continuación, seleccione Guardar.

    Captura de pantalla de la página de flujo, en la que se muestra la sección de configuración del examen.

Fase 4: Configuración de una directiva para ejecutar el flujo

  1. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.

  2. En la lista de directivas, en la fila donde aparece la directiva pertinente, elija los tres puntos al final de la fila y, a continuación, elija Editar directiva.

  3. En Alertas, seleccione Enviar alertas a Power Automate y, a continuación, seleccione Ejecutar examen antivirus con Windows Defender en una alerta de Defender for Cloud Apps.

    Captura de pantalla de la página de directiva, en la que se muestra la sección de configuración de alertas.

Ahora todas las alertas que se generan para esta directiva iniciarán el flujo para ejecutar el examen antivirus.

Puede usar los pasos de este tutorial para crear una amplia gama de acciones basadas en flujos de trabajo para ampliar Defender for Cloud Apps funcionalidades de corrección, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo de Defender for Cloud Apps predefinidos, en Power Automate, busque "Defender for Cloud Apps".

Recursos adicionales

Integración con Power Automate para la automatización de alertas personalizada