Megosztás a következőn keresztül:

Folyamat beállítása eseményekhez a Power Automate-összekötő használatával

  • A következőre érvényes:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

A biztonsági eljárások automatizálása minden modern biztonsági műveleti központ (SOC) esetében alapvető követelmény. Ahhoz, hogy az SOC-csapatok a leghatékonyabban működjenek, elengedhetetlen az automatizálás. A Microsoft Power Automate segítségével automatizált munkafolyamatokat hozhat létre, és néhány percen belül teljes körű eljárásautomatizálást hozhat létre. Microsoft Power Automate támogatja a különböző összekötőket, amelyek pontosan erre készültek.

Ebből a cikkből megtudhatja, hogyan hozhat létre olyan automatizálásokat, amelyeket egy esemény aktivál, például amikor új riasztás jön létre a bérlőben. Microsoft Defender API számos képességgel rendelkező hivatalos Power Automate-összekötővel rendelkezik.

A műveletek lap a Microsoft Defender 365 portálon

Megjegyzés:

További információ a prémium szintű összekötők licencelési előfeltételeiről: Licencelés prémium szintű összekötőkhöz.

Használati példa

Az alábbi példa bemutatja, hogyan hozhat létre olyan folyamatot, amely akkor aktiválódik, amikor új riasztás történik a bérlőn. A rendszer végigvezeti Önt annak meghatározásán, hogy melyik esemény indítja el a folyamatot, és hogy milyen következő műveletet hajt végre az eseményindító bekövetkezésekor.

  1. Jelentkezzen be a Microsoft Power Automate.

  2. Lépjen a Saját folyamatok>Új>automatizált elem üresből elemre.

    a. Az Új folyamat panel a Saját folyamatok menüelem alatt a Microsoft Defender 365 portálon

  3. Válasszon nevet a folyamatnak, keresse meg a "Microsoft Defender ATP-eseményindítókat" eseményindítóként, majd válassza ki az új Riasztások eseményindítót.

    A Folyamat eseményindítójának kiválasztása szakasz a Microsoft Defender 365 portálon

    Most már rendelkezik egy folyamattal, amely minden alkalommal aktiválódik, amikor új riasztás történik.

    Eseményindító leírása

    Most már csak ki kell választania a következő lépéseket. Elkülönítheti például az eszközt, ha a riasztás súlyossága Magas, és e-mailt küld róla. A riasztási eseményindító csak a riasztásazonosítót és a gépazonosítót adja meg. Az összekötő használatával kibonthatja ezeket az entitásokat.

A Riasztás entitás lekérése az összekötő használatával

  1. Válassza Microsoft Defender ATP lehetőséget az új lépéshez.

  2. Válassza a Riasztások – Egyetlen riasztási API lekérése lehetőséget.

  3. Állítsa be a riasztási azonosítót az utolsó lépésben bemenetként.

    A Riasztások panel

Az eszköz elkülönítése, ha a riasztás súlyossága magas

  1. Feltétel hozzáadása új lépésként.

  2. Ellenőrizze, hogy a Riasztás súlyossága magas-e .

    Ha igen, adja hozzá a Microsoft Defender ATP – Gép elkülönítése műveletet a gépazonosítóval és egy megjegyzéssel.

    A Műveletek panel

  3. Adjon hozzá egy új lépést a riasztással és az elkülönítéssel kapcsolatos e-mail-küldéshez. Számos könnyen használható e-mail-összekötő létezik, például az Outlook vagy a Gmail.

  4. Mentse a folyamatot.

    Létrehozhat egy ütemezett folyamatot is, amely speciális veszélyforrás-keresési lekérdezéseket és még sok mást futtat.

  • Last updated on