Condividi tramite

Esercitazione: Estendere la governance alla correzione degli endpoint

  • Articolo

Defender per il cloud App offre opzioni di governance predefinite per i criteri, ad esempio sospendere un utente o rendere privato un file. Usando l'integrazione nativa con Microsoft Power Automate, è possibile usare un ampio ecosistema di connettori SaaS (Software as a Service) per creare flussi di lavoro per automatizzare i processi, inclusa la correzione.

Ad esempio, quando si rileva una possibile minaccia malware, è possibile usare i flussi di lavoro per avviare Microsoft Defender per endpoint azioni di correzione, ad esempio l'esecuzione di un'analisi antivirus o l'isolamento di un endpoint.

In questa esercitazione si apprenderà come configurare un'azione di governance dei criteri per usare un flusso di lavoro per eseguire un'analisi antivirus in un endpoint in cui un utente mostra segni di comportamento sospetto:

Nota

Questi flussi di lavoro sono rilevanti solo per i criteri che contengono attività utente. Ad esempio, non è possibile usare questi flussi di lavoro con i criteri di individuazione o OAuth.

Se non si ha un piano di Power Automate, iscriversi per ottenere un account di valutazione gratuito.

Prerequisiti

  • È necessario disporre di un piano di Microsoft Power Automate valido
  • È necessario disporre di un piano di Microsoft Defender per endpoint valido
  • L'ambiente Power Automate deve essere sincronizzato con Microsoft Entra ID, Defender per endpoint monitorato e aggiunto al dominio

Fase 1: Generare un token API Defender per il cloud Apps

Nota

Se in precedenza è stato creato un flusso di lavoro usando un connettore Defender per il cloud Apps, Power Automate riutilizza automaticamente il token ed è possibile ignorare questo passaggio.

  1. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud.

  2. In Sistema scegliere Token API.

  3. Selezionare +Aggiungi token per generare un nuovo token API.

  4. Nella finestra popup Genera nuovo token immettere il nome del token , ad esempio "Flow-Token", quindi selezionare Genera.

    Screenshot of the token window, showing the name entry and generate button.

  5. Dopo aver generato il token, selezionare l'icona di copia a destra del token generato e quindi selezionare Chiudi. Il token sarà necessario in un secondo momento.

    Screenshot of the token window, showing the token and the copy process.

Fase 2: Creare un flusso per eseguire un'analisi antivirus

Nota

Se in precedenza è stato creato un flusso usando un connettore Defender per endpoint, Power Automate riutilizza automaticamente il connettore ed è possibile ignorare il passaggio Accedi .

  1. Passare al portale di Power Automate e selezionare Modelli.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Cercare Defender per il cloud App e selezionare Esegui analisi antivirus con Windows Defender in Defender per il cloud Avvisi di App.

    Screenshot of the templates Power Automate page, showing the search results.

  3. Nell'elenco delle app selezionare Accedi nella riga in cui viene visualizzato Microsoft Defender per endpoint connettore.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Fase 3: Configurare il flusso

Nota

Se in precedenza è stato creato un flusso usando un connettore Microsoft Entra, Power Automate riutilizza automaticamente il token ed è possibile ignorare questo passaggio.

  1. Nell'elenco delle app, nella riga in cui viene visualizzata Defender per il cloud App selezionare Crea.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. Nella finestra popup Defender per il cloud Apps (App) immettere il nome della connessione (ad esempio, "Defender per il cloud Token app"), incollare il token API copiato e quindi selezionare Crea.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. Nell'elenco delle app, nella riga in cui viene visualizzato HTTP con Azure AD selezionare Accedi.

  4. Nella finestra popup HTTP con Azure AD immettere le credenziali di amministratore da usare con il connettore HTTP con il connettore Azure AD sia per l'URL della risorsa di base che per l'URI della risorsa di Azure AD, immettere https://graph.microsoft.come quindi selezionare Accedi e immettere le credenziali di amministratore da usare con il connettore HTTP.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Selezionare Continua.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Dopo che tutti i connecter sono connessi correttamente, nella pagina del flusso in Applica a ogni dispositivo, modificare facoltativamente il commento e il tipo di analisi e quindi selezionare Salva.

    Screenshot of the flow page, showing the scan setting section.

Fase 4: Configurare un criterio per eseguire il flusso

  1. Nel portale di Microsoft Defender, in App cloud, passare a Criteri ->Gestione dei criteri.

  2. Nell'elenco dei criteri, nella riga in cui vengono visualizzati i criteri pertinenti, scegliere i tre puntini alla fine della riga e quindi scegliere Modifica criterio.

  3. In Avvisi selezionare Invia avvisi a Power Automate e quindi selezionare Esegui analisi antivirus con Windows Defender in caso di avviso Defender per il cloud App.

    Screenshot of the policy page, showing the alerts settings section.

Ora ogni avviso generato per questo criterio avvierà il flusso per eseguire l'analisi antivirus.

È possibile usare la procedura descritta in questa esercitazione per creare un'ampia gamma di azioni basate sul flusso di lavoro per estendere le funzionalità di correzione delle app Defender per il cloud, incluse altre azioni di Defender per endpoint. Per visualizzare un elenco dei flussi di lavoro predefiniti delle app di Defender per il cloud, in Power Automate cercare "Defender per il cloud Apps".

Vedi anche

Eseguire l'integrazione con Power Automate per l'automazione degli avvisi personalizzata