Partager via

Utilisation du connecteur Power Automate pour configurer un flux pour les événements

  • Article

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

L’automatisation des procédures de sécurité est une exigence standard pour chaque centre d’opérations de sécurité (SOC) moderne. Pour que les équipes SOC fonctionnent de la manière la plus efficace possible, l’automatisation est un must. Utilisez Microsoft Power Automate pour vous aider à créer des flux de travail automatisés et à créer une automatisation de procédure de bout en bout en quelques minutes. Microsoft Power Automate prend en charge différents connecteurs qui ont été créés exactement pour cela.

Cet article vous guide dans la création d’automatisations déclenchées par un événement, par exemple lorsqu’une nouvelle alerte est créée dans votre locataire. Microsoft Defender’API dispose d’un connecteur Power Automate officiel avec de nombreuses fonctionnalités.

Page Actions dans le portail Microsoft Defender 365

Remarque

Pour plus d’informations sur les prérequis de licence des connecteurs Premium, consultez Licences pour les connecteurs Premium.

Exemple d'utilisation

L’exemple suivant montre comment créer un flux qui est déclenché chaque fois qu’une nouvelle alerte se produit sur votre locataire. Vous serez guidé sur la définition de l’événement qui démarre le flux et de l’action suivante à effectuer lorsque ce déclencheur se produit.

  1. Connectez-vous à Microsoft Power Automate.

  2. Accédez à Mes flux>New>Automated-from blank.

    Volet Nouveau flux sous l’élément de menu Mes flux dans le portail Microsoft Defender 365

  3. Choisissez un nom pour votre flux, recherchez « Microsoft Defender déclencheurs ATP » comme déclencheur, puis sélectionnez le nouveau déclencheur Alertes.

    La section Choisir le déclencheur de votre flux dans le portail Microsoft Defender 365

Vous disposez maintenant d’un flux qui est déclenché chaque fois qu’une nouvelle alerte se produit.

Description d’un déclencheur

Il vous suffit maintenant de choisir les étapes suivantes. Par exemple, vous pouvez isoler l’appareil si la gravité de l’alerte est élevée et envoyer un e-mail à ce sujet. Le déclencheur d’alerte fournit uniquement l’ID d’alerte et l’ID de machine. Vous pouvez utiliser le connecteur pour développer ces entités.

Obtenir l’entité Alert à l’aide du connecteur

  1. Choisissez Microsoft Defender ATP pour la nouvelle étape.

  2. Choisissez Alertes - Obtenir l’API d’alerte unique.

  3. Définissez l’ID d’alerte de la dernière étape comme Entrée.

    Volet Alertes

Isoler l’appareil si la gravité de l’alerte est élevée

  1. Ajoutez Condition comme nouvelle étape.

  2. Vérifiez si la gravité de l’alerte est égale à Élevée.

    Si oui, ajoutez l’action Microsoft Defender ATP - Isoler la machine avec l’ID de machine et un commentaire.

    Volet Actions

  3. Ajoutez une nouvelle étape pour envoyer un e-mail à propos de l’alerte et de l’isolation. Il existe plusieurs connecteurs de messagerie faciles à utiliser, tels qu’Outlook ou Gmail.

  4. Enregistrez votre flux.

Vous pouvez également créer un flux planifié qui exécute des requêtes de chasse avancées et bien plus encore .

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.