Créer une règle de notification lorsqu’un script d’intégration ou de désintégrage local est utilisé
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Créez une règle de notification afin que vous soyez averti lorsqu’un script d’intégration ou de désintégrage local est utilisé.
Avant de commencer
Vous devez avoir accès aux éléments suivants :
- Power Automate (plan par utilisateur au minimum). Pour plus d’informations, consultez la page tarification de Power Automate.
- Table Azure ou Liste SharePoint, bibliothèque ou base de données SQL.
Créer le flux de notification
Dans make.powerautomate.com.
Accédez à Mes flux > Nouveau > planifié - à partir de zéro.
Créez un flux planifié.
- Entrez un nom de flux.
- Spécifiez le début et l’heure.
- Spécifiez la fréquence. Par exemple, toutes les 5 minutes.
Sélectionnez le bouton + pour ajouter une nouvelle action. La nouvelle action est une requête HTTP adressée à l’API des appareils Defender pour point de terminaison. Vous pouvez également le remplacer par le connecteur WDATP prête à l’emploi (action : Machines - Obtenir la liste des machines).
Entrez les champs HTTP suivants :
- Méthode : GET en tant que valeur pour obtenir la liste des appareils.
- URI : entrez
https://api.securitycenter.microsoft.com/api/machines
. - Authentification : sélectionnez Active Directory OAuth.
- Locataire : connectez-vous à https://portal.azure.com et accédez à Inscriptions d’applications ID > Microsoft Entra et obtenez la valeur ID de locataire.
- Audience:
https://securitycenter.onmicrosoft.com/windowsatpservice\
- ID client : connectez-vous à https://portal.azure.com Et accédez à Inscriptions d’applications d’ID > Microsoft Entra et obtenez la valeur ID client.
- Type d’informations d’identification : sélectionnez Secret.
- Secret : Connectez-vous à https://portal.azure.com Et accédez à Inscriptions d’applications ID > Microsoft Entra et obtenez la valeur ID de locataire.
Ajoutez une nouvelle étape en sélectionnant Ajouter une nouvelle action , puis recherchez Opérations de données et sélectionnez Analyser JSON.
Ajoutez Corps dans le champ Contenu .
Sélectionnez le lien Utiliser l’exemple de charge utile pour générer le schéma .
Copiez et collez l’extrait de code JSON suivant :
{ "type": "object", "properties": { "@@odata.context": { "type": "string" }, "value": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "computerDnsName": { "type": "string" }, "firstSeen": { "type": "string" }, "lastSeen": { "type": "string" }, "osPlatform": { "type": "string" }, "osVersion": {}, "lastIpAddress": { "type": "string" }, "lastExternalIpAddress": { "type": "string" }, "agentVersion": { "type": "string" }, "osBuild": { "type": "integer" }, "healthStatus": { "type": "string" }, "riskScore": { "type": "string" }, "exposureScore": { "type": "string" }, "aadDeviceId": {}, "machineTags": { "type": "array" } }, "required": [ "id", "computerDnsName", "firstSeen", "lastSeen", "osPlatform", "osVersion", "lastIpAddress", "lastExternalIpAddress", "agentVersion", "osBuild", "healthStatus", "rbacGroupId", "rbacGroupName", "riskScore", "exposureScore", "aadDeviceId", "machineTags" ] } } } }
Extrayez les valeurs de l’appel JSON et vérifiez si les appareils intégrés sont/sont déjà inscrits dans la liste SharePoint à titre d’exemple :
- Si oui, aucune notification n’est déclenchée
- Si non, inscrit les appareils nouvellement intégrés dans la liste SharePoint et une notification est envoyée à l’administrateur Defender pour point de terminaison
Sous Condition, ajoutez l’expression suivante : "length(body('Get_items') ?[' value'])" et définissez la condition sur 0.
Notification d’alerte
L’image suivante est un exemple de notification par e-mail.
Conseils
Vous pouvez filtrer ici à l’aide de lastSeen uniquement :
- Toutes les 60 minutes :
- Prenez tous les appareils vus pour la dernière fois au cours des sept derniers jours.
- Toutes les 60 minutes :
Pour chaque appareil :
- Si la dernière propriété vue est sur l’intervalle d’une heure de [-7 jours, -7 jours + 60 minutes] -> Alerte pour la possibilité de désintégrage.
- Si la première vue est sur la dernière heure -> Alerte pour l’intégration.
Dans cette solution, vous n’avez pas d’alertes en double.
Il existe des locataires qui ont de nombreux appareils. L’obtention de tous ces appareils peut nécessiter une pagination.
Vous pouvez le fractionner en deux requêtes :
Pour la désintégration, prenez uniquement cet intervalle à l’aide de la $filter OData et informez uniquement si les conditions sont remplies.
Prenez tous les appareils vus pour la dernière heure et vérifiez la première propriété vue pour eux (si la première propriété vue est sur la dernière heure, la dernière vue doit également être là).
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.