Leer en inglés

Compartir a través de

Creación de una regla de notificación cuando se usa un script de incorporación o eliminación local

  • Artículo

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota

Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Cree una regla de notificación para que cuando se use un script local de incorporación o eliminación, se le notifique.

Antes de empezar

Debe tener acceso a:

  • Power Automate (plan por usuario como mínimo). Para obtener más información, consulte la página de precios de Power Automate.
  • Tabla de Azure o lista de SharePoint o biblioteca/BASE de datos SQL.

Creación del flujo de notificación

  1. En make.powerautomate.com.

  2. Vaya a Mis flujos > Nuevo > programado: desde blanco.

    El flujo

  3. Cree un flujo programado.

    1. Escriba un nombre de flujo.
    2. Especifique el inicio y la hora.
    3. Especifique la frecuencia. Por ejemplo, cada 5 minutos.

    Flujo de notificación

  4. Seleccione el botón + para agregar una nueva acción. La nueva acción es una solicitud HTTP a la API de dispositivos de Defender para punto de conexión. También puede reemplazarlo por el conector WDATP integrado (acción: Máquinas : Obtener lista de máquinas).

    La acción de periodicidad y adición

  5. Escriba los siguientes campos HTTP:

    • Método: GET como valor para obtener la lista de dispositivos.
    • URI: escriba https://api.securitycenter.microsoft.com/api/machines.
    • Autenticación: seleccione OAuth de Active Directory.
    • Inquilino: inicie sesión en https://portal.azure.com y vaya a Microsoft Entra ID > Registros de aplicaciones y obtenga el valor de Identificador de inquilino.
    • Audiencia: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • Id. de cliente: inicie sesión en https://portal.azure.com y vaya a Microsoft Entra ID > Registros de aplicaciones y obtenga el valor de Id. de cliente.
    • Tipo de credencial: seleccione Secreto.
    • Secreto: inicie sesión en https://portal.azure.com y vaya a Microsoft Entra ID > registros de aplicaciones y obtenga el valor de Identificador de inquilino.

    Condiciones HTTP

  6. Para agregar un nuevo paso, seleccione Agregar nueva acción , busque Operaciones de datos y seleccione Analizar JSON.

    Entrada de operaciones de datos

  7. Agregue Cuerpo en el campo Contenido .

    La sección analizar JSON

  8. Seleccione el vínculo Usar carga de ejemplo para generar esquema .

    El archivo JSON de análisis con carga

  9. Copie y pegue el siguiente fragmento de código JSON:

    JSON 
    {
    "type": "object",
    "properties": {
        "@@odata.context": {
            "type": "string"
        },
        "value": {
            "type": "array",
            "items": {
                "type": "object",
                "properties": {
                    "id": {
                        "type": "string"
                    },
                    "computerDnsName": {
                        "type": "string"
                    },
                    "firstSeen": {
                        "type": "string"
                    },
                    "lastSeen": {
                        "type": "string"
                    },
                    "osPlatform": {
                        "type": "string"
                    },
                    "osVersion": {},
                    "lastIpAddress": {
                        "type": "string"
                    },
                    "lastExternalIpAddress": {
                        "type": "string"
                    },
                    "agentVersion": {
                        "type": "string"
                    },
                    "osBuild": {
                        "type": "integer"
                    },
                    "healthStatus": {
                        "type": "string"
                    },
                    "riskScore": {
                        "type": "string"
                    },
                    "exposureScore": {
                        "type": "string"
                    },
                    "aadDeviceId": {},
                    "machineTags": {
                        "type": "array"
                    }
                },
                "required": [
                    "id",
                    "computerDnsName",
                    "firstSeen",
                    "lastSeen",
                    "osPlatform",
                    "osVersion",
                    "lastIpAddress",
                    "lastExternalIpAddress",
                    "agentVersion",
                    "osBuild",
                    "healthStatus",
                    "rbacGroupId",
                    "rbacGroupName",
                    "riskScore",
                    "exposureScore",
                    "aadDeviceId",
                    "machineTags"
                ]
            }
        }
    }
}

  10. Extraiga los valores de la llamada JSON y compruebe si los dispositivos incorporados ya están registrados en la lista de SharePoint como ejemplo:

    • Si es así, no se desencadena ninguna notificación.
    • Si no es así, registrará los dispositivos recién incorporados en la lista de SharePoint y se enviará una notificación al administrador de Defender para punto de conexión.

    Aplicación del flujo a cada elemento

    Aplicación del flujo al elemento Get items

  11. En Condición, agregue la siguiente expresión: "length(body('Get_items')?[' value'])" y establezca la condición en igual a 0.

    La aplicación del flujo a cada condición La condición-1 La condición-2 La sección Enviar un correo electrónico

Notificación de alerta

La siguiente imagen es un ejemplo de una notificación por correo electrónico.

Pantalla de notificación por correo electrónico

Sugerencias

  • Puede filtrar aquí solo con lastSeen:

    • Cada 60 minutos:
      • Tome todos los dispositivos que se han visto por última vez en los últimos siete días.

  • Para cada dispositivo:

    • Si la propiedad vista por última vez está en el intervalo de una hora de [-7 días, -7 días + 60 minutos] -> Alerta de posibilidad de retirada.
    • Si la primera vez que se ve es en la última hora:> alerta para la incorporación.

En esta solución, no tiene alertas duplicadas.

Hay inquilinos que tienen numerosos dispositivos. La obtención de todos esos dispositivos puede requerir paginación.

Puede dividirlo en dos consultas:

  1. Para la eliminación, tome solo este intervalo mediante el $filter OData y solo notifique si se cumplen las condiciones.

  2. Tome todos los dispositivos vistos por última vez en la última hora y compruebe la primera propiedad vista para ellos (si la primera propiedad vista es en la última hora, la última vista debe estar allí también).

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.