보안 절차 자동화는 모든 최신 SOC(보안 운영 센터)에 대한 표준 요구 사항입니다. SOC 팀이 가장 효율적인 방식으로 운영하려면 자동화가 필수입니다. Microsoft Power Automate 사용하여 자동화된 워크플로를 만들고 몇 분 내에 엔드 투 엔드 프로시저 자동화를 빌드할 수 있습니다. Microsoft Power Automate 이를 위해 정확하게 빌드된 다양한 커넥터를 지원합니다.
이 문서를 사용하여 테넌트에서 새 경고가 만들어지는 경우와 같이 이벤트에 의해 트리거되는 자동화를 만드는 방법을 안내합니다. Microsoft Defender API에는 많은 기능을 갖춘 공식 Power Automate Connector가 있습니다.
참고
프리미엄 커넥터 라이선스 필수 구성 요소에 대한 자세한 내용은 프리미엄 커넥터에 대한 라이선스를 참조하세요.
사용 예제
다음 예제에서는 테넌트에서 새 경고가 발생할 때마다 트리거되는 흐름을 만드는 방법을 보여 줍니다. 흐름을 시작하는 이벤트와 해당 트리거가 발생할 때 수행할 다음 작업을 정의하는 방법에 대해 안내합니다.
Microsoft Power Automate 로그인합니다.
내 흐름 새>>자동화된 공백으로 이동합니다.
a.
흐름의 이름을 선택하고 트리거로 "Microsoft Defender ATP 트리거"를 검색한 다음 새 경고 트리거를 선택합니다.
이제 새 경고가 발생할 때마다 트리거되는 흐름이 있습니다.
이제 다음 단계를 선택하기만 하면 됩니다. 예를 들어 경고의 심각도가 높으면 디바이스를 격리하고 이에 대한 이메일을 보낼 수 있습니다. 경고 트리거는 경고 ID 및 컴퓨터 ID만 제공합니다. 커넥터를 사용하여 이러한 엔터티를 확장할 수 있습니다.
커넥터를 사용하여 경고 엔터티 가져오기
새 단계에서 MICROSOFT DEFENDER ATP를 선택합니다.
경고 - 단일 경고 API 가져오기를 선택합니다.
마지막 단계의 경고 ID 를 입력으로 설정합니다.
경고의 심각도가 높으면 디바이스 격리
조건을 새 단계로 추가합니다.
경고 심각도가 높음 과 같은 지 확인합니다.
그렇다면 컴퓨터 ID 및 주석으로 Microsoft Defender ATP - 컴퓨터 격리 작업을 추가합니다.
경고 및 격리에 대한 전자 메일을 보내기 위한 새 단계를 추가합니다. Outlook 또는 Gmail과 같이 사용하기 쉬운 여러 전자 메일 커넥터가 있습니다.
흐름을 저장합니다.
고급 헌팅 쿼리 등을 실행하는 예약된 흐름을 만들 수도 있습니다.
