Riasztások vizsgálata Microsoft Defender XDR

  • Cikk

Megjegyzés:

Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.

Érintett szolgáltatás:

  • Microsoft Defender XDR

Megjegyzés:

Ez a cikk a biztonsági riasztásokat ismerteti Microsoft Defender XDR. A tevékenységriasztások használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Tevékenységriasztások létrehozása – Microsoft Purview | Microsoft Docs.

A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. A riasztások általában egy szélesebb körű támadás részét képezik, és egy incidenssel kapcsolatos nyomokat adnak meg.

A Microsoft Defender XDR a kapcsolódó riasztások összesítve incidensekké alakulnak. Az incidensek mindig a támadás tágabb kontextusát biztosítják, a riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.

A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások üzenetsorát az Incidensek & riasztások riasztásaiból > érheti el a Microsoft Defender portál gyors indításakor.

A Microsoft Defender portál Riasztások szakasza

Itt jelennek meg a Különböző Microsoft biztonsági megoldások, például Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender és Microsoft Defender XDR riasztásai.

Alapértelmezés szerint az Microsoft Defender portál riasztási várólistája az elmúlt 30 nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először.

Az alapértelmezett riasztási várólistán a Szűrő elemet választva megtekintheti a Szűrő panelt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.

A Microsoft Defender portál Szűrők szakasza.

A riasztásokat az alábbi feltételek szerint szűrheti:

  • Súlyossága
  • Állapot
  • Szolgáltatásforrások
  • Entitások (az érintett eszközök)
  • Automatizált vizsgálati állapot

A riasztások Office 365-höz készült Defender szükséges szerepkörei

Az Office 365-höz készült Microsoft Defender riasztások eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:

  • Microsoft Entra globális szerepkörök esetén:

    • Globális rendszergazda
    • Biztonsági rendszergazda
    • Biztonsági operátor
    • Globális olvasó
    • Biztonsági olvasó

  • biztonsági & megfelelőségi szerepkörcsoportok Office 365

    • Megfelelőségi rendszergazda
    • Szervezetfelügyelet

  • Egyéni szerepkör

Riasztás elemzése

A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.

Képernyőkép egy riasztás részleteiről a Microsoft Defender portálon

A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.

A riasztási oldal az alábbi szakaszokból áll:

  • Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
  • Összegzés részletei

A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.

Riasztási források

Microsoft Defender XDR riasztások olyan megoldásokból származhatnak, mint a Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, a Microsoft Defender for Cloud Apps alkalmazásirányítási bővítménye, Microsoft Entra ID-védelem, és a Microsoft adatveszteség-megelőzési szolgáltatását. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.

Megjegyzés:

  • Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
  • Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.
Riasztás forrása Előtagolt karakter
Microsoft Defender XDR ra
ta a ThreatExperts esetében
ea for DetectionSource = DetectionSource.CustomDetection
Office 365-höz készült Microsoft Defender fa{GUID}
Példa: fa123a456b-c789-1d2e-12f1g33h445h6i
Végponthoz készült Microsoft Defender da vagy ed egyéni észlelési riasztások esetén
Microsoft Defender for Identity aa{GUID}
Példa: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Példa: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID-védelem ad
Alkalmazásirányítás ma
Microsoft adatveszteség-megelőzés dl

Microsoft Entra IP-riasztási szolgáltatás konfigurálása

  1. Nyissa meg a Microsoft Defender portált (security.microsoft.com), és válassza a Beállítások>Microsoft Defender XDR lehetőséget.

  2. A listában válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a Microsoft Entra ID-védelem riasztási szolgáltatást.

    Képernyőkép Microsoft Entra ID-védelem riasztások beállításáról a Microsoft Defender portálon.

Alapértelmezés szerint csak a biztonsági műveleti központ legrelevánsabb riasztásai vannak engedélyezve. Ha szeretné lekérni Microsoft Entra IP-kockázatészlelést, azt a Riasztási szolgáltatás beállításai szakaszban módosíthatja.

A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az érintett eszközök elemzése

A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.

A Műveletközpont Nézet elemét választva megtekintheti a MűveletközpontElőzmény lapját a Microsoft Defender portálon.

Riasztási szerepkör nyomon követése a riasztási történetben

A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.

Megjegyzés:

A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.

További riasztási információk megtekintése a részletek lapon

A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.

Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.

Értesítések kezelése

A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.

Képernyőkép az Microsoft Defender portal Riasztások kezelése szakaszáról

A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:

  • A riasztás állapota (Új, Megoldva, Folyamatban).
  • A riasztáshoz rendelt felhasználói fiók.
  • A riasztás besorolása:
    • Nincs beállítva (alapértelmezett).
    • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
    • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
    • Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít Microsoft Defender XDR az észlelés minőségének javításában.
  • Megjegyzés a riasztáshoz.

Megjegyzés:

2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.

Megjegyzés:

A riasztások kezelésének egyik módja címkék használatával. A Office 365-höz készült Microsoft Defender címkézési képessége növekményesen jelenik meg, és jelenleg előzetes verzióban érhető el.

A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.

Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.

Képernyőkép egy riasztás kiválasztásáról a Microsoft Defender portálon

A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.

Képernyőkép a kapcsolódó riasztások kezeléséről a Microsoft Defender portálon

Ha a korábbiakban már besoroltak hasonló riasztásokat, időt takaríthat meg, ha Microsoft Defender XDR javaslatokat használva megtudhatja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.

Képernyőkép egy riasztásra vonatkozó javaslatok kiválasztásáról

A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.

Képernyőkép egy riasztási javaslatról

Riasztás hangolása

Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Az elemzők ideje értékes, és csak a magas súlyosságra és a magas prioritású riasztásokra szeretnének összpontosítani. Mindeközben az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat.

A riasztások finomhangolása lehetővé teszi a riasztások előzetes hangolását és kezelését. Ez leegyszerűsíti a riasztási várólista működését, és a riasztások automatikus elrejtésével vagy feloldásával időt takarít meg, amikor egy bizonyos elvárt szervezeti viselkedés történik, és a szabályfeltételek teljesülnek.

A "bizonyítéktípusok" alapján szabályfeltételeket hozhat létre, például fájlokat, folyamatokat, ütemezett feladatokat és sok más, a riasztást aktiváló bizonyítéktípust. A szabály létrehozása után alkalmazhatja a szabályt a kiválasztott riasztásra, vagy bármely olyan riasztástípusra, amely megfelel a szabály feltételeinek a riasztás hangolásához.

Emellett a funkció a különböző Microsoft Defender XDR szolgáltatásforrásokból érkező riasztásokat is magában foglalja. A nyilvános előzetes verzió riasztáshangolási funkciója olyan számítási feladatoktól kap riasztásokat, mint a Végponthoz készült Defender, a Office 365-höz készült Defender, a Defender for Identity, a Defender for Cloud Apps, a Microsoft Entra ID-védelem (Microsoft Entra IP- és egyéb, ha ezek a források elérhetők a platformon, és Terv. Korábban a riasztás finomhangolási képessége csak a Végponthoz készült Defender számítási feladatból rögzített riasztásokat.

Megjegyzés:

Javasoljuk, hogy körültekintően használja a riasztások finomhangolását, más néven a riasztások mellőzését. Bizonyos esetekben egy ismert belső üzleti alkalmazás vagy biztonsági teszt egy várt tevékenységet vált ki, és nem szeretné látni ezeket a riasztásokat. Így létrehozhat egy szabályt ezeknek a riasztástípusoknak a finomhangolásához.

Szabályfeltételek létrehozása a riasztások hangolásához

A riasztásokat kétféleképpen hangolhatja Microsoft Defender XDR. Riasztás hangolása a Beállítások lapon:

  1. Válassza a Beállítások lehetőséget. A bal oldali panelen lépjen a Szabályok elemre, és válassza a Riasztás finomhangolása lehetőséget.

    Képernyőkép Microsoft Defender XDR Beállítások lapján található riasztáshangolási lehetőségről.

    Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget. Meglévő szabályt is szerkeszthet ebben a nézetben, ha kiválaszt egy szabályt a listából.

    Képernyőkép új szabályok hozzáadásáról a Riasztás finomhangolása lapon.

  2. A Riasztás hangolása panelen kiválaszthatja azokat a szolgáltatásforrásokat, amelyekre a szabály vonatkozik a Szolgáltatásforrások legördülő menüben.

    Képernyőkép a Szolgáltatásforrás legördülő menüről a Riasztás hangolása lapon.

    Megjegyzés:

    Csak azok a szolgáltatások jelennek meg, amelyekhez a felhasználó rendelkezik engedéllyel.

  3. Adjon hozzá olyan biztonsági réseket (IOK-okat), amelyek aktiválják a riasztást az IOK-k szakaszban. Hozzáadhat egy feltételt a riasztás leállításához, ha egy adott IOC vagy a riasztásban hozzáadott bármely IOC aktiválja.

    Az IOC-k olyan mutatók, mint például a fájlok, folyamatok, ütemezett feladatok és a riasztást kiváltó egyéb bizonyítéktípusok.

    Képernyőkép az IOC menüről a Riasztás hangolása lapon.

    Több szabályfeltétel beállításához használja az AND, OR és csoportosítási lehetőségeket a riasztást okozó több "bizonyítéktípus" közötti kapcsolat kiépítéséhez.

    1. Válassza ki például az eseményindító bizonyíték entitásszerepkulátorát: Eseményindító, egyenlő és bármely lehetőséget a riasztásban hozzáadott IOC aktiválásakor a riasztás leállításához. A "bizonyíték" összes tulajdonsága automatikusan új alcsoportként lesz kitöltve az alábbi mezőkben.

    Megjegyzés:

    A feltételértékek nem különböztetik meg a kis- és nagybetűket.

    1. A "bizonyíték" tulajdonságait igény szerint szerkesztheti és/vagy törölheti (ha támogatott, helyettesítő karaktereket használ).

    2. A fájlokon és folyamatokon kívül az ANTIMalware Scan Interface (AMSI) szkript, a Windows Management Instrumentation (WMI) esemény és az ütemezett feladatok is az újonnan hozzáadott bizonyítéktípusok közé tartoznak, amelyeket a bizonyítéktípusok legördülő listájából választhat.

    3. Egy másik IOC hozzáadásához kattintson a Szűrő hozzáadása elemre.

    Megjegyzés:

    A riasztástípusok hangolásához legalább egy IOC-t hozzá kell adni a szabályfeltételhez.

  4. A Művelet szakaszban hajtsa végre a megfelelő műveletet a Riasztás elrejtése vagy a Riasztás feloldása beállítással.

    Írja be a Név, Leírás kifejezést, majd kattintson a Mentés gombra.

    Megjegyzés:

    A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat.

    Képernyőkép a Riasztás hangolása lap Művelet menüjéről.

Riasztás hangolása a Riasztások lapon:

  1. Válasszon ki egy riasztást a Riasztások lap Incidensek és riasztások területén. Másik lehetőségként kiválaszthat egy riasztást, amikor áttekinti az incidens részleteit az Incidens oldalon.

    A riasztásokat a Riasztás finomhangolása panelen hangolhatja, amely automatikusan megnyílik a riasztás részletei lap jobb oldalán.

    Képernyőkép a Riasztások panel hangolásáról a Riasztás lapon.

  2. Válassza ki azokat a feltételeket, amelyekre a riasztás vonatkozik a Riasztástípusok szakaszban. Válassza a Csak ez a riasztástípus lehetőséget, ha alkalmazni szeretné a szabályt a kiválasztott riasztásra.

    Ha azonban a szabályt bármely olyan riasztástípusra szeretné alkalmazni, amely megfelel a szabály feltételeinek, válassza a Bármely riasztástípus az IOC-feltételek alapján lehetőséget.

    Képernyőkép a Riasztások hangolása panelről, kiemelve a Riasztástípusok szakaszt.

  3. A Hatókör szakasz kitöltése akkor szükséges, ha a riasztás finomhangolása végpontspecifikus Defender. Válassza ki, hogy a szabály a szervezet összes eszközére vagy egy adott eszközre vonatkozik-e.

    Megjegyzés:

    A szabály minden szervezetre való alkalmazásához rendszergazdai szerepköri engedély szükséges.

    Képernyőkép a Riasztás hangolása panelről a Hatókör szakasz kiemelésével.

  4. Adjon hozzá feltételeket a Feltételek szakaszban a riasztás leállításához, ha egy adott IOC vagy a riasztásban hozzáadott bármely IOC aktiválja. Ebben a szakaszban kiválaszthat egy adott eszközt, több eszközt, eszközcsoportot, a teljes szervezetet vagy felhasználót.

    Megjegyzés:

    Rendszergazda engedéllyel kell rendelkeznie, ha a hatókör csak a Felhasználóra van beállítva. Rendszergazda engedélyre nincs szükség, ha a hatókör a Felhasználó és az Eszköz, eszközcsoportokkal együtt van beállítva.

    Képernyőkép a Riasztás hangolása panelről a Feltételek szakasz kiemelésével.

  5. Adja hozzá azokat az IOK-okat, amelyekre a szabály vonatkozik az IOC szakaszban. A Bármely IOC lehetőséget választva leállíthatja a riasztást, függetlenül attól, hogy milyen "bizonyíték" okozta a riasztást.

    Képernyőkép a Riasztás hangolása panelről, kiemelve az IOCs szakaszt.

  6. Azt is megteheti, hogy az IOK-k szakaszban az Összes riasztás 7 kapcsolódó IOK automatikus kitöltése lehetőséget választja, hogy az összes riasztással kapcsolatos bizonyítéktípust és azok tulajdonságait egyszerre adja hozzá a Feltételek szakaszban.

    Képernyőkép az összes riasztással kapcsolatos IOC automatikus kitöltéséről.

  7. A Művelet szakaszban hajtsa végre a megfelelő műveletet a Riasztás elrejtése vagy a Riasztás feloldása beállítással.

    Írja be a Name (Név), Comment (Megjegyzés) kifejezést, majd kattintson a Save (Mentés) gombra.

    Képernyőkép a Riasztás hangolása panel Művelet szakaszáról.

  8. Az IOK-k jövőbeni blokkolásának megakadályozása:

    Miután mentette a riasztás finomhangolási szabályát, a megjelenő Sikeres szabálylétrehozás lapon hozzáadhatja a kiválasztott IOC-ket jelzőként az "engedélyezési listához", és megakadályozhatja, hogy a jövőben blokkolva legyenek.

    A listában minden riasztással kapcsolatos IOK megjelenik.

    A letiltási feltételekben kiválasztott IOK-k alapértelmezés szerint ki lesznek választva.

    1. Hozzáadhat például olyan fájlokat, amelyek engedélyezve lesznek a Bizonyíték kiválasztása (IOC) számára. Alapértelmezés szerint a riasztást kiváltó fájl van kiválasztva.
    2. Adja meg a hatókört a Hatókör kiválasztása mezőben. Alapértelmezés szerint a kapcsolódó riasztás hatóköre van kiválasztva.
    3. Kattintson a Mentés gombra. Most a fájl nincs letiltva, mivel szerepel az engedélyezési listában.

  9. Az új riasztáshangolási funkció alapértelmezés szerint elérhető.

    Az Microsoft Defender Portal korábbi felületére azonban visszaállhat a Beállítások > Microsoft Defender XDR > Szabályok > riasztáshangolása elemre, majd kikapcsolhatja az Új hangolási szabályok létrehozása engedélyezve kapcsolót.

    Megjegyzés:

    Hamarosan csak az új riasztáshangolási felület lesz elérhető. Nem fog tudni visszatérni az előző élményhez.

  10. Meglévő szabályok szerkesztése:

    Az új vagy meglévő szabályok feltételeit és hatókörét bármikor hozzáadhatja vagy módosíthatja a Microsoft Defender portálon a megfelelő szabály kiválasztásával, majd a Szabály szerkesztése elemre kattintva.

    A meglévő szabályok szerkesztéséhez győződjön meg arról, hogy az Új riasztás finomhangolási szabályainak létrehozása engedélyezve váltógomb engedélyezve van.

Riasztás megoldása

Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.

A riasztások osztályozása segít Microsoft Defender XDR az észlelési minőség javításában.

Riasztások osztályozása a Power Automate használatával

A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.

Riasztások feloldásának feltételei

  • A felhasználó házon kívül üzenete be van kapcsolva
  • A felhasználó nincs magas kockázatúként megjelölve

Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.

A Power Automate csatlakoztatása a Microsoft Defender for Cloud Apps

Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztathatja a Power Automate-et Microsoft Defender for Cloud Apps.

  1. Nyissa meg Microsoft Defender, válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd az API-jogkivonatok lapon válassza a Jogkivonat hozzáadása lehetőséget.

  2. Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.

Automatizált folyamat létrehozása

Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et a Defender for Cloud Appshez.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.