Oktatóanyag: A szabályozás kiterjesztése a végpont szervizelésére

  • Cikk

Megjegyzés:

Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.

Felhőhöz készült Defender Az alkalmazások előre definiált szabályozási lehetőségeket biztosítanak a szabályzatokhoz, például felfüggesztenek egy felhasználót, vagy privátsá tesznek egy fájlt. A Microsoft Power Automate natív integrációjával nagy méretű szoftveres ökoszisztémát használhat szolgáltatásként (SaaS-összekötők) munkafolyamatok létrehozására a folyamatok automatizálásához, beleértve a szervizelést is.

Ha például észlel egy lehetséges kártevő-fenyegetést, munkafolyamatokkal elindíthatja Végponthoz készült Microsoft Defender szervizelési műveleteket, például víruskeresést futtathat vagy végpontot izolálhat.

Ebben az oktatóanyagban megtudhatja, hogyan konfigurálhat egy szabályzatszabályozási műveletet úgy, hogy egy munkafolyamattal víruskereső vizsgálatot futtasson egy olyan végponton, ahol a felhasználó gyanús viselkedés jeleit jeleníti meg:

Megjegyzés:

Ezek a munkafolyamatok csak a felhasználói tevékenységet tartalmazó szabályzatok esetében relevánsak. Ezeket a munkafolyamatokat például nem használhatja Felderítési vagy OAuth-szabályzatokkal.

Ha nem rendelkezik Power Automate-csomaggal, regisztráljon egy ingyenes próbaverziós fiókra.

Előfeltételek

  • Érvényes Microsoft Power Automate-csomaggal kell rendelkeznie
  • Érvényes Végponthoz készült Microsoft Defender csomaggal kell rendelkeznie
  • A Power Automate-környezetnek szinkronizálva kell lennie az Azure AD-nek, monitoroznia kell a Végponthoz készült Defendert és a tartományhoz kell csatlakoznia

1. fázis: Felhőhöz készült Defender Apps API-jogkivonat létrehozása

Megjegyzés:

Ha korábban létrehozott egy munkafolyamatot egy Felhőhöz készült Defender Apps-összekötő használatával, a Power Automate automatikusan újra felhasználja a jogkivonatot, és kihagyhatja ezt a lépést.

  1. A Microsoft 365 Defender portálon válassza a Gépház. Ezután válassza a Cloud Apps lehetőséget.

  2. A Rendszer területen válassza az API-jogkivonatokat.

  3. Válassza a +Jogkivonat hozzáadása lehetőséget egy új API-jogkivonat létrehozásához.

  4. Az Új jogkivonat létrehozása előugró ablakban adja meg a jogkivonat nevét (például "Flow-Token"), majd válassza a Létrehozás lehetőséget.

    Screenshot of the token window, showing the name entry and generate button.

  5. A jogkivonat létrehozása után válassza a létrehozott jogkivonattól jobbra található másolás ikont, majd válassza a Bezárás lehetőséget. Később szüksége lesz a jogkivonatra.

    Screenshot of the token window, showing the token and the copy process.

2. fázis: Folyamat létrehozása víruskereső vizsgálat futtatásához

Megjegyzés:

Ha korábban létrehozott egy folyamatot egy Defender for Endpoint-összekötővel, a Power Automate automatikusan újra felhasználja az összekötőt, és kihagyhatja a bejelentkezési lépést.

  1. Nyissa meg a Power Automate portált, és válassza a Sablonok lehetőséget.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Keresse meg a Felhőhöz készült Defender-alkalmazásokat, és válassza a Víruskereső vizsgálat futtatása a Windows Defender használatával az Felhőhöz készült Defender Apps-riasztásokon lehetőséget.

    Screenshot of the templates Power Automate page, showing the search results.

  3. Az alkalmazások listájában azon a sorban, amelyben Végponthoz készült Microsoft Defender összekötő megjelenik, válassza a Bejelentkezés lehetőséget.

    Screenshot of the templates Power Automate page, showing the sign-in process.

3. fázis: A folyamat konfigurálása

Megjegyzés:

Ha korábban létrehozott egy folyamatot egy Azure AD-összekötő használatával, a Power Automate automatikusan újra felhasználja a jogkivonatot, és kihagyhatja ezt a lépést.

  1. Az alkalmazások listájában, azon a sorban, amelyben az Felhőhöz készült Defender Alkalmazások megjelenik, válassza a Létrehozás lehetőséget.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. Az Felhőhöz készült Defender Alkalmazások előugró ablakban adja meg a kapcsolat nevét (például "Felhőhöz készült Defender Apps Token"), illessze be a másolt API-jogkivonatot, majd válassza a Létrehozás lehetőséget.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. Az alkalmazások listájában azon a sorban, amelyben a HTTP és az Azure AD megjelenik, válassza a Bejelentkezés lehetőséget.

  4. Az Azure AD előugró HTTP-ben az alaperőforrás URL-címéhez és az Azure AD-erőforrás URI-mezőihez írja be a következőthttps://graph.microsoft.com, majd válassza a Bejelentkezés lehetőséget, és adja meg a HTTP-vel és az Azure AD-összekötővel használni kívánt rendszergazdai hitelesítő adatokat.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Válassza a Folytatás lehetőséget.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Miután az összes csatlakozó sikeresen csatlakozott, a folyamat oldalának Alkalmazás minden eszközre területén módosítsa a megjegyzés és a vizsgálat típusát, majd válassza a Mentés lehetőséget.

    Screenshot of the flow page, showing the scan setting section.

4. fázis: Szabályzat konfigurálása a folyamat futtatásához

  1. A Microsoft 365 Defender portál Cloud Apps területén válassza a Szabályzatok kezelése lehetőséget>.

  2. A szabályzatok listájában a megfelelő szabályzatot tartalmazó sorban válassza ki a sor végén található három elemet, majd válassza a Szabályzat szerkesztése lehetőséget.

  3. A Riasztások csoportban válassza a Riasztások küldése a Power Automate-nek lehetőséget, majd válassza a Víruskereső vizsgálat futtatása a Windows Defender használatával Felhőhöz készült Defender-alkalmazásokra vonatkozó riasztások esetén lehetőséget.

    Screenshot of the policy page, showing the alerts settings section.

Most a szabályzathoz létrehozott összes riasztás elindítja a folyamatot a víruskereső vizsgálatának futtatásához.

Az oktatóanyag lépéseivel munkafolyamat-alapú műveletek széles skáláját hozhatja létre Felhőhöz készült Defender Alkalmazások szervizelési képességeinek kibővítéséhez, beleértve a végpontokhoz készült Defender egyéb műveleteit is. Az előre definiált Felhőhöz készült Defender Apps-munkafolyamatok listájának megtekintéséhez a Power Automate-ben keresse meg a "Felhőhöz készült Defender Apps" kifejezést.

Kapcsolódó információk

Integrálás a Power Automate-rel egyéni riasztás-automatizáláshoz