적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
참고
미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.
팁
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
로컬 온보딩 또는 오프보딩 스크립트를 사용할 때 알림을 받도록 알림 규칙을 만듭니다.
시작하기 전에
다음 항목에 액세스할 수 있어야 합니다.
- Power Automate(최소 사용자별 계획). 자세한 내용은 Power Automate 가격 책정 페이지를 참조하세요.
- Azure 테이블 또는 SharePoint 목록 또는 라이브러리/SQL DB.
알림 흐름 만들기
빈 위치에서 내 흐름 > 새 > 예약됨으로 이동합니다.
예약된 흐름을 빌드합니다.
- 흐름 이름을 입력합니다.
- 시작 및 시간을 지정합니다.
- 빈도를 지정합니다. 예를 들어 5분마다.
+ 단추를 선택하여 새 작업을 추가합니다. 새 작업은 엔드포인트용 Defender 디바이스 API에 대한 HTTP 요청입니다. 기본 WDATP 커넥터 (작업: 컴퓨터 - 머신 목록 가져오기)로 바꿀 수도 있습니다.
다음 HTTP 필드를 입력합니다.
- 메서드: 디바이스 목록을 가져오는 값으로 GET 합니다.
- URI: 를 입력합니다
https://api.securitycenter.microsoft.com/api/machines
. - 인증: Active Directory OAuth를 선택합니다.
- 테넌트: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.
- 관객:
https://securitycenter.onmicrosoft.com/windowsatpservice\
- 클라이언트 ID: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 클라이언트 ID 값을 가져옵니다.
- 자격 증명 유형: 비밀을 선택합니다.
- 비밀: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.
새 작업 추가 를 선택하여 새 단계를 추가한 다음 , 데이터 작업을 검색하고 JSON 구문 분석을 선택합니다.
콘텐츠 필드에 본문을 추가합니다.
샘플 페이로드를 사용하여 스키마 생성 링크를 선택합니다.
다음 JSON 코드 조각을 복사하여 붙여넣습니다.
{ "type": "object", "properties": { "@@odata.context": { "type": "string" }, "value": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "computerDnsName": { "type": "string" }, "firstSeen": { "type": "string" }, "lastSeen": { "type": "string" }, "osPlatform": { "type": "string" }, "osVersion": {}, "lastIpAddress": { "type": "string" }, "lastExternalIpAddress": { "type": "string" }, "agentVersion": { "type": "string" }, "osBuild": { "type": "integer" }, "healthStatus": { "type": "string" }, "riskScore": { "type": "string" }, "exposureScore": { "type": "string" }, "aadDeviceId": {}, "machineTags": { "type": "array" } }, "required": [ "id", "computerDnsName", "firstSeen", "lastSeen", "osPlatform", "osVersion", "lastIpAddress", "lastExternalIpAddress", "agentVersion", "osBuild", "healthStatus", "rbacGroupId", "rbacGroupName", "riskScore", "exposureScore", "aadDeviceId", "machineTags" ] } } } }
JSON 호출에서 값을 추출하고 온보딩된 디바이스가 SharePoint 목록에 이미 등록된 경우 다음 예제로 검사.
- 그렇다면 알림이 트리거되지 않습니다.
- 아니요인 경우 는 SharePoint 목록에 새로 온보딩된 디바이스를 등록하고 엔드포인트용 Defender 관리자에게 알림이 전송됩니다.
조건 아래에서 "length(body('Get_items')?[' 식을 추가합니다. value'])" 및 조건을 0으로 설정합니다.
경고 알림
다음 이미지는 이메일 알림의 예입니다.
팁
lastSeen만 사용하여 여기에서 필터링할 수 있습니다.
- 60분마다:
- 지난 7일 동안 마지막으로 본 모든 장치를 가져 가라.
- 60분마다:
각 디바이스의 경우:
- 마지막으로 본 속성이 [-7일, -7일 + 60분]의 1시간 간격에 있는 경우 -> 오프보딩 가능성에 대한 경고입니다.
- 처음 본 시간이 지난 시간에 있는 경우 -> 온보딩에 대한 경고입니다.
이 솔루션에는 중복 경고가 없습니다.
수많은 디바이스가 있는 테넌트가 있습니다. 이러한 모든 디바이스를 가져오려면 페이징이 필요할 수 있습니다.
다음 두 쿼리로 분할할 수 있습니다.
오프보딩의 경우 OData $filter 사용하여 이 간격만 사용하고 조건이 충족되는 경우에만 알립니다.
지난 1시간 동안 마지막으로 본 모든 디바이스를 가져와서 처음 본 속성을 검사(처음 본 속성이 지난 시간에 있는 경우 마지막으로 본 디바이스도 있어야 합니다).
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.