Utilisation du connecteur Power Automate pour configurer un flux pour les événements
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
L’automatisation des procédures de sécurité est une exigence standard pour chaque centre d’opérations de sécurité (SOC) moderne. Pour que les équipes SOC fonctionnent de la manière la plus efficace possible, l’automatisation est un must. Utilisez Microsoft Power Automate pour vous aider à créer des flux de travail automatisés et à créer une automatisation de procédure de bout en bout en quelques minutes. Microsoft Power Automate prend en charge différents connecteurs qui ont été créés exactement pour cela.
Cet article vous guide dans la création d’automatisations déclenchées par un événement, par exemple lorsqu’une nouvelle alerte est créée dans votre locataire. Microsoft Defender’API dispose d’un connecteur Power Automate officiel avec de nombreuses fonctionnalités.
Remarque
Pour plus d’informations sur les prérequis de licence des connecteurs Premium, consultez Licences pour les connecteurs Premium.
Exemple d'utilisation
L’exemple suivant montre comment créer un flux qui est déclenché chaque fois qu’une nouvelle alerte se produit sur votre locataire. Vous serez guidé sur la définition de l’événement qui démarre le flux et de l’action suivante à effectuer lorsque ce déclencheur se produit.
Connectez-vous à Microsoft Power Automate.
Accédez à Mes flux>New>Automated-from blank.
Choisissez un nom pour votre flux, recherchez « Microsoft Defender déclencheurs ATP » comme déclencheur, puis sélectionnez le nouveau déclencheur Alertes.
Vous disposez maintenant d’un flux qui est déclenché chaque fois qu’une nouvelle alerte se produit.
Il vous suffit maintenant de choisir les étapes suivantes. Par exemple, vous pouvez isoler l’appareil si la gravité de l’alerte est élevée et envoyer un e-mail à ce sujet. Le déclencheur d’alerte fournit uniquement l’ID d’alerte et l’ID de machine. Vous pouvez utiliser le connecteur pour développer ces entités.
Obtenir l’entité Alert à l’aide du connecteur
Choisissez Microsoft Defender ATP pour la nouvelle étape.
Choisissez Alertes - Obtenir l’API d’alerte unique.
Définissez l’ID d’alerte de la dernière étape comme Entrée.
Isoler l’appareil si la gravité de l’alerte est élevée
Ajoutez Condition comme nouvelle étape.
Vérifiez si la gravité de l’alerte est égale à Élevée.
Si oui, ajoutez l’action Microsoft Defender ATP - Isoler la machine avec l’ID de machine et un commentaire.
Ajoutez une nouvelle étape pour envoyer un e-mail à propos de l’alerte et de l’isolation. Il existe plusieurs connecteurs de messagerie faciles à utiliser, tels qu’Outlook ou Gmail.
Enregistrez votre flux.
Vous pouvez également créer un flux planifié qui exécute des requêtes de chasse avancées et bien plus encore .
Rubrique connexe
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour