Condividi tramite

Come usare Power Automate Connector per configurare un flusso per gli eventi

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

L'automazione delle procedure di sicurezza è un requisito standard per ogni moderno Security Operations Center (SOC). Per consentire ai team SOC di operare nel modo più efficiente, l'automazione è un must. Usare Microsoft Power Automate per creare flussi di lavoro automatizzati e creare un'automazione delle procedure end-to-end in pochi minuti. Microsoft Power Automate supporta connettori diversi che sono stati creati esattamente per questo.

Questo articolo illustra come creare automazioni attivate da un evento, ad esempio quando viene creato un nuovo avviso nel tenant. Microsoft Defender'API ha un connettore ufficiale di Power Automate con molte funzionalità.

Pagina Azioni nel portale di Microsoft Defender 365

Nota

Per altre informazioni sui prerequisiti di licenza dei connettori Premium, vedere Licenze per i connettori Premium.

Esempio di utilizzo

Nell'esempio seguente viene illustrato come creare un flusso attivato ogni volta che si verifica un nuovo avviso nel tenant. Verrà illustrato come definire l'evento che avvia il flusso e quale azione successiva verrà eseguita quando si verifica tale trigger.

  1. Accedere a Microsoft Power Automate.

  2. Passare a Flussi personali>Nuovo>automatizzato-da vuoto.

    a. Riquadro Nuovo flusso nella voce di menu Flussi personali nel portale di Microsoft Defender 365

  3. Scegliere un nome per flow, cercare "Microsoft Defender trigger ATP" come trigger e quindi selezionare il nuovo trigger Avvisi.

    Sezione Scegliere il trigger del flusso nel portale di Microsoft Defender 365

    Ora si dispone di un flusso che viene attivato ogni volta che si verifica un nuovo avviso.

    Descrizione di un trigger

    A questo punto è sufficiente scegliere i passaggi successivi. Ad esempio, è possibile isolare il dispositivo se la gravità dell'avviso è alta e inviare un messaggio di posta elettronica al riguardo. Il trigger di avviso fornisce solo l'ID avviso e l'ID computer. È possibile usare il connettore per espandere queste entità.

Ottenere l'entità Alert usando il connettore

  1. Scegliere Microsoft Defender ATP per il nuovo passaggio.

  2. Scegliere Avvisi - Ottenere un'API di avviso singolo.

  3. Impostare l'ID avviso dell'ultimo passaggio come Input.

    Riquadro Avvisi

Isolare il dispositivo se la gravità dell'avviso è alta

  1. Aggiungere Condition come nuovo passaggio.

  2. Controllare se la gravità dell'avviso è uguale a Alta.

    In caso affermativo, aggiungere l'azione ATP - Isolare il computer Microsoft Defender con l'ID computer e un commento.

    Riquadro Azioni

  3. Aggiungere un nuovo passaggio per l'invio tramite posta elettronica dell'avviso e dell'isolamento. Sono disponibili più connettori di posta elettronica facili da usare, ad esempio Outlook o Gmail.

  4. Salvare il flusso.

    È anche possibile creare un flusso pianificato che esegue query di ricerca avanzata e molto altro ancora.

  • Last updated on