Tutorial: Ampliación de la gobernanza a la corrección de puntos de conexión
Nota
Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender y se puede acceder a ella a través de su portal en: https://security.microsoft.com. Microsoft 365 Defender correlaciona las señales del conjunto de Microsoft Defender entre puntos de conexión, identidades, correo electrónico y aplicaciones SaaS para proporcionar funcionalidades de detección, investigación y respuesta de nivel de incidente. Mejora la eficacia operativa con una mejor priorización y tiempos de respuesta más cortos que protegen a su organización de forma más eficaz. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.
Defender for Cloud Apps proporciona opciones de gobernanza predefinidas para las directivas, como suspender un usuario o hacer que un archivo sea privado. Mediante la integración nativa con Microsoft Power Automate, puede usar un amplio ecosistema de conectores de software como servicio (SaaS) para compilar flujos de trabajo con el fin de automatizar procesos, incluida la corrección.
Por ejemplo, al detectar una posible amenaza de malware, puede usar flujos de trabajo para iniciar acciones de corrección de Microsoft Defender for Endpoint, como ejecutar un examen antivirus o aislar un punto de conexión.
En este tutorial obtendrá información sobre cómo configurar una acción de gobernanza de directivas para usar un flujo de trabajo que ejecute un examen antivirus en un punto de conexión donde un usuario muestre signos de comportamiento sospechoso:
Nota
Estos flujos de trabajo solo son pertinentes para directivas que contengan actividad de usuarios. Por ejemplo, no puede usar estos flujos de trabajo con directivas de detección o de OAuth.
Si no tiene un plan de Power Automate, regístrese para obtener una cuenta de evaluación gratuita.
Requisitos previos
- Debe tener un plan de Microsoft Power Automate válido.
- Debe tener un plan válido de Microsoft Defender for Endpoint.
- El entorno de Power Automate debe estar sincronizado con Azure AD, supervisado por Defender for Endpoint y unido a un dominio.
Fase 1: Generación de un token de API de Defender for Cloud Apps
Nota
Si ha creado previamente un flujo de trabajo mediante un conector de Defender for Cloud Apps, Power Automate reutiliza automáticamente el token y puede omitir este paso.
En el portal de Microsoft 365 Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
En Sistema, elija Tokens de API.
Seleccione +Agregar token para generar un nuevo token de API.
En la ventana emergente Generar nuevo token , escriba el nombre del token (por ejemplo, "Flow-Token") y, a continuación, seleccione Generar.
Una vez generado el token, seleccione el icono de copia situado a la derecha del token generado y, a continuación, seleccione Cerrar. Va a necesitar el token más adelante.
Fase 2: Creación de un flujo para ejecutar un examen antivirus
Nota
Si ha creado anteriormente un flujo con un conector de Defender for Endpoint, Power Automate vuelve a usar el conector automáticamente y se puede omitir el paso de inicio de sesión.
Vaya al portal de Power Automate y seleccione Plantillas.
Busque Defender for Cloud Apps y seleccione Ejecutar examen antivirus con Windows Defender en alertas de Defender for Cloud Apps.
En la lista de aplicaciones, en la fila en la que aparece Microsoft Defender para punto de conexión conector, seleccione Iniciar sesión.
Fase 3: Configuración del flujo
Nota
Si ha creado anteriormente un flujo con un conector de Azure AD, Power Automate vuelve a usar el token automáticamente y se puede omitir este paso.
En la lista de aplicaciones, en la fila en la que aparece Defender for Cloud Apps , seleccione Crear.
En el elemento emergente Defender for Cloud Apps , escriba el nombre de conexión (por ejemplo, "Token de Defender for Cloud Apps"), pegue el token de API que copió y, a continuación, seleccione Crear.
En la lista de aplicaciones, en la fila en la que aparece HTTP con Azure AD , seleccione Iniciar sesión.
En el menú emergente HTTP con Azure AD , para los campos Url del recurso base y URI de recursos de Azure AD , escriba
https://graph.microsoft.com
y, a continuación, seleccione Iniciar sesión y escriba las credenciales de administrador que quiere usar con el conector HTTP con Azure AD.Seleccione Continuar.
Una vez que todos los conectadores estén conectados correctamente, en la página del flujo, en Aplicar a cada dispositivo, modifique opcionalmente el tipo de comentario y examen y, a continuación, seleccione Guardar.
Fase 4: Configuración de la directiva que ejecutará el flujo
En el portal de Microsoft 365 Defender, en Aplicaciones en la nube, vaya a Directivas ->Administración de directivas.
En la lista de directivas, en la fila donde se muestre una directiva pertinente, seleccione el signo de tres puntos al final de la fila y, después, haga clic en Editar directiva.
En Alertas, seleccione Send alerts to Power Automate (Enviar alertas a Power Automate) y, a continuación, seleccione Ejecutar examen antivirus con Windows Defender en una alerta de Defender for Cloud Apps.
Ahora todas las alertas generadas para esta directiva iniciarán el flujo para ejecutar el examen antivirus.
Puede usar los pasos de este tutorial para crear una amplia gama de acciones basadas en flujos de trabajo para ampliar las funcionalidades de corrección de Defender for Cloud Apps, incluidas otras acciones de Defender para punto de conexión. Para ver una lista de flujos de trabajo predefinidos de Defender for Cloud Apps, en Power Automate, busque "Defender for Cloud Apps".