Tutorial: Ampliación de la gobernanza a la corrección de puntos de conexión

  • Artículo

Nota

Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender y se puede acceder a ella a través de su portal en: https://security.microsoft.com. Microsoft 365 Defender correlaciona las señales del conjunto de Microsoft Defender entre puntos de conexión, identidades, correo electrónico y aplicaciones SaaS para proporcionar funcionalidades de detección, investigación y respuesta de nivel de incidente. Mejora la eficacia operativa con una mejor priorización y tiempos de respuesta más cortos que protegen a su organización de forma más eficaz. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Defender for Cloud Apps proporciona opciones de gobernanza predefinidas para las directivas, como suspender un usuario o hacer que un archivo sea privado. Mediante la integración nativa con Microsoft Power Automate, puede usar un amplio ecosistema de conectores de software como servicio (SaaS) para compilar flujos de trabajo con el fin de automatizar procesos, incluida la corrección.

Por ejemplo, al detectar una posible amenaza de malware, puede usar flujos de trabajo para iniciar acciones de corrección de Microsoft Defender for Endpoint, como ejecutar un examen antivirus o aislar un punto de conexión.

En este tutorial obtendrá información sobre cómo configurar una acción de gobernanza de directivas para usar un flujo de trabajo que ejecute un examen antivirus en un punto de conexión donde un usuario muestre signos de comportamiento sospechoso:

Nota

Estos flujos de trabajo solo son pertinentes para directivas que contengan actividad de usuarios. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o de OAuth.

Si no tiene un plan de Power Automate, regístrese para obtener una cuenta de evaluación gratuita.

Requisitos previos

  • Debe tener un plan de Microsoft Power Automate válido.
  • Debe tener un plan válido de Microsoft Defender for Endpoint.
  • El entorno de Power Automate debe estar sincronizado con Azure AD, supervisado por Defender for Endpoint y unido a un dominio.

Fase 1: Generación de un token de API de Defender for Cloud Apps

Nota

Si ha creado previamente un flujo de trabajo mediante un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.

  1. En el portal de Microsoft 365 Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.

  2. En Sistema, elija Tokens de API.

  3. Seleccione +Agregar token para generar un nuevo token de API.

  4. En la ventana emergente Generar nuevo token , escriba el nombre del token (por ejemplo, "Flow-Token") y, a continuación, seleccione Generar.

    Captura de pantalla de la ventana del token, donde se muestran la entrada de nombre y el botón Generar.

  5. Una vez generado el token, seleccione el icono de copia situado a la derecha del token generado y, a continuación, seleccione Cerrar. Va a necesitar el token más adelante.

    Captura de pantalla de la ventana del token, donde se muestran el token y el proceso de copia.

Fase 2: Creación de un flujo para ejecutar un examen antivirus

Nota

Si ha creado anteriormente un flujo con un conector de Defender for Endpoint, Power Automate vuelve a usar el conector automáticamente y se puede omitir el paso de inicio de sesión.

  1. Vaya al portal de Power Automate y seleccione Plantillas.

    Captura de pantalla de la página principal de Power Automate, en la que se muestra la selección de plantillas.

  2. Busque Defender for Cloud Apps y seleccione Ejecutar examen antivirus con Windows Defender en alertas de Defender for Cloud Apps.

    Captura de pantalla de la página de plantillas de Power Automate, donde se muestran los resultados de la búsqueda.

  3. En la lista de aplicaciones, en la fila en la que aparece Microsoft Defender para punto de conexión conector, seleccione Iniciar sesión.

    Captura de pantalla de la página de plantillas de Power Automate, donde se muestra el proceso de inicio de sesión.

Fase 3: Configuración del flujo

Nota

Si ha creado anteriormente un flujo con un conector de Azure AD, Power Automate vuelve a usar el token automáticamente y se puede omitir este paso.

  1. En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Apps , seleccione Crear.

    Captura de pantalla de la página plantillas de Power Automate, en la que se muestra el botón Crear de Defender for Cloud Apps.

  2. En el elemento emergente Defender for Cloud Apps , escriba el nombre de conexión (por ejemplo, "Token de Defender for Cloud Apps"), pegue el token de API que copió y, a continuación, seleccione Crear.

    Captura de pantalla de la ventana Defender for Cloud Apps, en la que se muestra el nombre y la entrada de clave y el botón Crear.

  3. En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD , seleccione Iniciar sesión.

  4. En el menú emergente HTTP con Azure AD , para los campos Url del recurso base y URI de recursos de Azure AD , escriba https://graph.microsoft.comy, a continuación, seleccione Iniciar sesión y escriba las credenciales de administrador que quiere usar con el conector HTTP con Azure AD.

    Captura de pantalla de la ventana HTTP con Azure AD, donde se muestran los campos de recursos y el botón de inicio de sesión.

  5. Seleccione Continuar.

    Captura de pantalla de la ventana de plantillas de Power Automate, donde se muestran las acciones completadas y el botón Continuar.

  6. Una vez que todos los conectadores estén conectados correctamente, en la página del flujo, en Aplicar a cada dispositivo, modifique opcionalmente el tipo de comentario y examen y, a continuación, seleccione Guardar.

    Captura de pantalla de la página del flujo, donde se muestra la sección de configuración del examen.

Fase 4: Configuración de la directiva que ejecutará el flujo

  1. En el portal de Microsoft 365 Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.

  2. En la lista de directivas, en la fila donde se muestre una directiva pertinente, seleccione el signo de tres puntos al final de la fila y, después, haga clic en Editar directiva.

  3. En Alertas, seleccione Send alerts to Power Automate (Enviar alertas a Power Automate) y, a continuación, seleccione Ejecutar examen antivirus con Windows Defender en una alerta de Defender for Cloud Apps.

    Captura de pantalla de la página de directivas, donde se muestra la sección de configuración de alertas.

Ahora todas las alertas generadas para esta directiva iniciarán el flujo para ejecutar el examen antivirus.

Puede usar los pasos de este tutorial para crear una amplia gama de acciones basadas en flujos de trabajo para ampliar las funcionalidades de corrección de Defender for Cloud Apps, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo predefinidos de Defender for Cloud Apps, en Power Automate, busque "Defender for Cloud Apps".

Consulte también

Integración con Power Automate para la automatización de alertas personalizada