다음을 통해 공유


로컬 온보딩 또는 오프보딩 스크립트를 사용할 때 알림 규칙 만들기

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.

성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

로컬 온보딩 또는 오프보딩 스크립트를 사용할 때 알림을 받도록 알림 규칙을 만듭니다.

시작하기 전에

다음 항목에 액세스할 수 있어야 합니다.

알림 흐름 만들기

  1. make.powerautomate.com.

  2. 빈 위치에서 내 흐름 > 새 > 예약됨으로 이동합니다.

    흐름

  3. 예약된 흐름을 빌드합니다.

    1. 흐름 이름을 입력합니다.
    2. 시작 및 시간을 지정합니다.
    3. 빈도를 지정합니다. 예를 들어 5분마다.

    알림 흐름

  4. + 단추를 선택하여 새 작업을 추가합니다. 새 작업은 엔드포인트용 Defender 디바이스 API에 대한 HTTP 요청입니다. 기본 WDATP 커넥터 (작업: 컴퓨터 - 머신 목록 가져오기)로 바꿀 수도 있습니다.

    되풀이 및 작업 추가

  5. 다음 HTTP 필드를 입력합니다.

    • 메서드: 디바이스 목록을 가져오는 값으로 GET 합니다.
    • URI: 를 입력합니다 https://api.securitycenter.microsoft.com/api/machines.
    • 인증: Active Directory OAuth를 선택합니다.
    • 테넌트: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.
    • 관객: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • 클라이언트 ID: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 클라이언트 ID 값을 가져옵니다.
    • 자격 증명 유형: 비밀을 선택합니다.
    • 비밀: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.

    HTTP 조건

  6. 작업 추가 를 선택하여 새 단계를 추가한 다음 , 데이터 작업을 검색하고 JSON 구문 분석을 선택합니다.

    데이터 작업 항목

  7. 콘텐츠 필드에 본문을 추가합니다.

    JSON 구문 분석 섹션

  8. 샘플 페이로드를 사용하여 스키마 생성 링크를 선택합니다.

    페이로드를 사용하여 JSON 구문 분석

  9. 다음 JSON 코드 조각을 복사하여 붙여넣습니다.

    {
        "type": "object",
        "properties": {
            "@@odata.context": {
                "type": "string"
            },
            "value": {
                "type": "array",
                "items": {
                    "type": "object",
                    "properties": {
                        "id": {
                            "type": "string"
                        },
                        "computerDnsName": {
                            "type": "string"
                        },
                        "firstSeen": {
                            "type": "string"
                        },
                        "lastSeen": {
                            "type": "string"
                        },
                        "osPlatform": {
                            "type": "string"
                        },
                        "osVersion": {},
                        "lastIpAddress": {
                            "type": "string"
                        },
                        "lastExternalIpAddress": {
                            "type": "string"
                        },
                        "agentVersion": {
                            "type": "string"
                        },
                        "osBuild": {
                            "type": "integer"
                        },
                        "healthStatus": {
                            "type": "string"
                        },
                        "riskScore": {
                            "type": "string"
                        },
                        "exposureScore": {
                            "type": "string"
                        },
                        "aadDeviceId": {},
                        "machineTags": {
                            "type": "array"
                        }
                    },
                    "required": [
                        "id",
                        "computerDnsName",
                        "firstSeen",
                        "lastSeen",
                        "osPlatform",
                        "osVersion",
                        "lastIpAddress",
                        "lastExternalIpAddress",
                        "agentVersion",
                        "osBuild",
                        "healthStatus",
                        "rbacGroupId",
                        "rbacGroupName",
                        "riskScore",
                        "exposureScore",
                        "aadDeviceId",
                        "machineTags"
                    ]
                }
            }
        }
    }
    
    
  10. JSON 호출에서 값을 추출하고 온보딩된 디바이스가 SharePoint 목록에 이미 등록된 경우 다음 예제로 검사.

    • 그렇다면 알림이 트리거되지 않습니다.
    • 아니요인 경우 는 SharePoint 목록에 새로 온보딩된 디바이스를 등록하고 엔드포인트용 Defender 관리자에게 알림이 전송됩니다.

    각 요소에 대한 흐름의 애플리케이션

    Get items 요소에 흐름을 적용하는 입니다.

  11. 조건 아래에서 "length(body('Get_items')?[' 식을 추가합니다. value'])" 및 조건을 0으로 설정합니다.

    각 조건에 흐름을 적용하는 조건 -1 조건 -2 전자 메일 보내기 섹션

경고 알림

다음 이미지는 이메일 알림의 예입니다.

전자 메일 알림 화면

  • lastSeen만 사용하여 여기에서 필터링할 수 있습니다.

    • 60분마다:
      • 지난 7일 동안 마지막으로 본 모든 장치를 가져 가라.
  • 각 디바이스의 경우:

    • 마지막으로 본 속성이 [-7일, -7일 + 60분]의 1시간 간격에 있는 경우 -> 오프보딩 가능성에 대한 경고입니다.
    • 처음 본 시간이 지난 시간에 있는 경우 -> 온보딩에 대한 경고입니다.

이 솔루션에는 중복 경고가 없습니다.

수많은 디바이스가 있는 테넌트가 있습니다. 이러한 모든 디바이스를 가져오려면 페이징이 필요할 수 있습니다.

다음 두 쿼리로 분할할 수 있습니다.

  1. 오프보딩의 경우 OData $filter 사용하여 이 간격만 사용하고 조건이 충족되는 경우에만 알립니다.

  2. 지난 1시간 동안 마지막으로 본 모든 디바이스를 가져와서 처음 본 속성을 검사(처음 본 속성이 지난 시간에 있는 경우 마지막으로 본 디바이스도 있어야 합니다).

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.