Partager via


Créer une règle de notification lorsqu’un script d’intégration ou de désintégrage local est utilisé

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Conseil

Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Créez une règle de notification afin que vous soyez averti lorsqu’un script d’intégration ou de désintégrage local est utilisé.

Avant de commencer

Vous devez avoir accès aux éléments suivants :

  • Power Automate (plan par utilisateur au minimum). Pour plus d’informations, consultez la page tarification de Power Automate.
  • Table Azure ou Liste SharePoint, bibliothèque ou base de données SQL.

Créer le flux de notification

  1. Dans make.powerautomate.com.

  2. Accédez à Mes flux > Nouveau > planifié - à partir de zéro.

    Le flux

  3. Créez un flux planifié.

    1. Entrez un nom de flux.
    2. Spécifiez le début et l’heure.
    3. Spécifiez la fréquence. Par exemple, toutes les 5 minutes.

    Flux de notification

  4. Sélectionnez le bouton + pour ajouter une nouvelle action. La nouvelle action est une requête HTTP adressée à l’API des appareils Defender pour point de terminaison. Vous pouvez également le remplacer par le connecteur WDATP prête à l’emploi (action : Machines - Obtenir la liste des machines).

    Action de périodicité et d’ajout

  5. Entrez les champs HTTP suivants :

    • Méthode : GET en tant que valeur pour obtenir la liste des appareils.
    • URI : entrez https://api.securitycenter.microsoft.com/api/machines.
    • Authentification : sélectionnez Active Directory OAuth.
    • Locataire : connectez-vous à https://portal.azure.com et accédez à Inscriptions d’applications ID > Microsoft Entra et obtenez la valeur ID de locataire.
    • Audience: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • ID client : connectez-vous à https://portal.azure.com Et accédez à Inscriptions d’applications d’ID > Microsoft Entra et obtenez la valeur ID client.
    • Type d’informations d’identification : sélectionnez Secret.
    • Secret : Connectez-vous à https://portal.azure.com Et accédez à Inscriptions d’applications ID > Microsoft Entra et obtenez la valeur ID de locataire.

    Conditions HTTP

  6. Ajoutez une nouvelle étape en sélectionnant Ajouter une nouvelle action , puis recherchez Opérations de données et sélectionnez Analyser JSON.

    Entrée des opérations de données

  7. Ajoutez Corps dans le champ Contenu .

    Section Analyser JSON

  8. Sélectionnez le lien Utiliser l’exemple de charge utile pour générer le schéma .

    Analyser JSON avec la charge utile

  9. Copiez et collez l’extrait de code JSON suivant :

    {
        "type": "object",
        "properties": {
            "@@odata.context": {
                "type": "string"
            },
            "value": {
                "type": "array",
                "items": {
                    "type": "object",
                    "properties": {
                        "id": {
                            "type": "string"
                        },
                        "computerDnsName": {
                            "type": "string"
                        },
                        "firstSeen": {
                            "type": "string"
                        },
                        "lastSeen": {
                            "type": "string"
                        },
                        "osPlatform": {
                            "type": "string"
                        },
                        "osVersion": {},
                        "lastIpAddress": {
                            "type": "string"
                        },
                        "lastExternalIpAddress": {
                            "type": "string"
                        },
                        "agentVersion": {
                            "type": "string"
                        },
                        "osBuild": {
                            "type": "integer"
                        },
                        "healthStatus": {
                            "type": "string"
                        },
                        "riskScore": {
                            "type": "string"
                        },
                        "exposureScore": {
                            "type": "string"
                        },
                        "aadDeviceId": {},
                        "machineTags": {
                            "type": "array"
                        }
                    },
                    "required": [
                        "id",
                        "computerDnsName",
                        "firstSeen",
                        "lastSeen",
                        "osPlatform",
                        "osVersion",
                        "lastIpAddress",
                        "lastExternalIpAddress",
                        "agentVersion",
                        "osBuild",
                        "healthStatus",
                        "rbacGroupId",
                        "rbacGroupName",
                        "riskScore",
                        "exposureScore",
                        "aadDeviceId",
                        "machineTags"
                    ]
                }
            }
        }
    }
    
    
  10. Extrayez les valeurs de l’appel JSON et vérifiez si les appareils intégrés sont/sont déjà inscrits dans la liste SharePoint à titre d’exemple :

    • Si oui, aucune notification n’est déclenchée
    • Si non, inscrit les appareils nouvellement intégrés dans la liste SharePoint et une notification est envoyée à l’administrateur Defender pour point de terminaison

    Application du flux à chaque élément

    Application du flux à l’élément Get items

  11. Sous Condition, ajoutez l’expression suivante : "length(body('Get_items') ?[' value'])" et définissez la condition sur 0.

    L’application du flux à chaque condition La condition-1 La condition-2 La section Envoyer un e-mail

Notification d’alerte

L’image suivante est un exemple de notification par e-mail.

Écran de notification par e-mail

Conseils

  • Vous pouvez filtrer ici à l’aide de lastSeen uniquement :

    • Toutes les 60 minutes :
      • Prenez tous les appareils vus pour la dernière fois au cours des sept derniers jours.
  • Pour chaque appareil :

    • Si la dernière propriété vue est sur l’intervalle d’une heure de [-7 jours, -7 jours + 60 minutes] -> Alerte pour la possibilité de désintégrage.
    • Si la première vue est sur la dernière heure -> Alerte pour l’intégration.

Dans cette solution, vous n’avez pas d’alertes en double.

Il existe des locataires qui ont de nombreux appareils. L’obtention de tous ces appareils peut nécessiter une pagination.

Vous pouvez le fractionner en deux requêtes :

  1. Pour la désintégration, prenez uniquement cet intervalle à l’aide de la $filter OData et informez uniquement si les conditions sont remplies.

  2. Prenez tous les appareils vus pour la dernière heure et vérifiez la première propriété vue pour eux (si la première propriété vue est sur la dernière heure, la dernière vue doit également être là).

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.