Power Automate コネクタを使用してイベントのフローを設定する方法

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

セキュリティ手順の自動化は、最新のすべての Security Operations Center (SOC) の標準的な要件です。 SOC チームが最も効率的な方法で運用するには、自動化が必須です。 Microsoft Power Automate を使用すると、自動化されたワークフローを作成し、数分以内にエンドツーエンドの手順の自動化を構築できます。 Microsoft Power Automate では、その目的に合わせて正確に構築されたさまざまなコネクタがサポートされています。

この記事では、テナントで新しいアラートが作成されたときなど、イベントによってトリガーされる自動化を作成する方法について説明します。 Microsoft Defender API には、多くの機能を備えた公式の Power Automate コネクタがあります。

注:

Premium コネクタのライセンスの前提条件の詳細については、「 Premium コネクタのライセンス」を参照してください。

使用例

次の例では、テナントで新しいアラートが発生するたびにトリガーされるフローを作成する方法を示します。 フローを開始するイベントと、そのトリガーが発生したときに実行される次のアクションを定義する方法について説明します。

1. Microsoft Power Automate にログインします。

2. [マイ フロー>] [NewAutomated-from]\(新しい>自動から\) 空白に移動します。

   

3. Flow の名前を選択し、トリガーとして "MICROSOFT DEFENDER ATP トリガー" を検索し、新しいアラート トリガーを選択します。

   

これで、新しいアラートが発生するたびにトリガーされるフローが作成されました。

ここで必要なのは、次の手順を選択するだけです。 たとえば、アラートの重大度が高い場合はデバイスを分離し、そのデバイスに関するメールを送信できます。 アラート トリガーは、アラート ID とマシン ID のみを提供します。 コネクタを使用して、これらのエンティティを展開できます。

コネクタを使用して Alert エンティティを取得する

1. 新しいステップMicrosoft Defender ATP を選択します。

2. [ アラート ] - [単一アラート API の取得] を選択します。

3. 最後の手順の アラート ID を[入力] に設定します。

   

アラートの重大度が高い場合にデバイスを分離する

1. 新しい手順として 条件 を追加します。

2. [アラートの重大度] が [高 ] に等しい かどうかを確認します。

   はいの場合は、Microsoft Defender ATP - マシン ID とコメントを使用してマシンの分離アクションを追加します。

   

3. アラートと分離に関する電子メールを送信するための新しい手順を追加します。 Outlook や Gmail など、使いやすい複数のメール コネクタがあります。

4. フローを保存します。

高度なハンティング クエリなどを実行する スケジュールされた フローを作成することもできます。

関連トピック

• Microsoft Defender for Endpoint API

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。