Compartir a través de

Uso del conector de Power Automate para configurar un flujo para eventos

  • Artículo

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La automatización de los procedimientos de seguridad es un requisito estándar para cada centro de operaciones de seguridad (SOC) moderno. Para que los equipos de SOC funcionen de la manera más eficaz, la automatización es imprescindible. Use Microsoft Power Automate para ayudarle a crear flujos de trabajo automatizados y a crear una automatización de procedimientos de un extremo a otro en unos minutos. Microsoft Power Automate admite diferentes conectores que se crearon exactamente para eso.

Use este artículo para guiarle en la creación de automatizaciones desencadenadas por un evento, como cuando se crea una nueva alerta en el inquilino. Microsoft Defender API tiene un conector oficial de Power Automate con muchas funcionalidades.

Página Acciones del portal de Microsoft Defender 365

Nota:

Para obtener más información sobre los requisitos previos de licencia de conectores Premium, consulte Licencias para conectores Premium.

Ejemplo de uso

En el ejemplo siguiente se muestra cómo crear un flujo que se desencadena cada vez que se produce una nueva alerta en el inquilino. Se le guiará en la definición de qué evento inicia el flujo y qué acción siguiente se realizará cuando se produzca ese desencadenador.

  1. Inicie sesión en Microsoft Power Automate.

  2. Vaya a Mis flujos>Nuevo>automatizado desde blanco.

    El panel Nuevo flujo, en el elemento de menú Mis flujos del portal de Microsoft Defender 365

  3. Elija un nombre para flow, busque "Microsoft Defender desencadenadores de ATP" como desencadenador y, a continuación, seleccione el nuevo desencadenador de alertas.

    La sección Elegir el desencadenador del flujo en el portal de Microsoft Defender 365

Ahora tiene un flujo que se desencadena cada vez que se produce una nueva alerta.

Descripción del desencadenador

Todo lo que necesita hacer ahora es elegir los pasos siguientes. Por ejemplo, puede aislar el dispositivo si la gravedad de la alerta es Alta y enviar un correo electrónico al respecto. El desencadenador de alerta proporciona solo el identificador de alerta y el identificador de máquina. Puede usar el conector para expandir estas entidades.

Obtención de la entidad Alert mediante el conector

  1. Elija Microsoft Defender ATP para el nuevo paso.

  2. Elija Alertas: Obtener api de alerta única.

  3. Establezca el identificador de alerta del último paso como Entrada.

    Panel Alertas

Aislar el dispositivo si la gravedad de la alerta es Alta

  1. Agregue Condición como nuevo paso.

  2. Compruebe si la gravedad de la alerta es igual a Alta.

    Si es así, agregue la acción Microsoft Defender ATP - Aislar la máquina con el id. de máquina y un comentario.

    Panel Acciones

  3. Agregue un nuevo paso para enviar un correo electrónico sobre la alerta y el aislamiento. Hay varios conectores de correo electrónico que son fáciles de usar, como Outlook o Gmail.

  4. Guarde el flujo.

También puede crear un flujo programado que ejecute consultas de búsqueda avanzada y mucho más.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.