로컬 온보딩 또는 오프보딩 스크립트를 사용할 때 알림 규칙 만들기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.

팁

성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

로컬 온보딩 또는 오프보딩 스크립트를 사용할 때 알림을 받도록 알림 규칙을 만듭니다.

시작하기 전에

다음 항목에 액세스할 수 있어야 합니다.

• Power Automate(최소 사용자별 계획). 자세한 내용은 Power Automate 가격 책정 페이지를 참조하세요.
• Azure 테이블 또는 SharePoint 목록 또는 라이브러리/SQL DB.

알림 흐름 만들기

1. make.powerautomate.com.

2. 빈 위치에서 내 흐름 > 새 > 예약됨으로 이동합니다.

   

3. 예약된 흐름을 빌드합니다.

   1. 흐름 이름을 입력합니다.
   2. 시작 및 시간을 지정합니다.
   3. 빈도를 지정합니다. 예를 들어 5분마다.

   

4. + 단추를 선택하여 새 작업을 추가합니다. 새 작업은 엔드포인트용 Defender 디바이스 API에 대한 HTTP 요청입니다. 기본 WDATP 커넥터 (작업: 컴퓨터 - 머신 목록 가져오기)로 바꿀 수도 있습니다.

   

5. 다음 HTTP 필드를 입력합니다.

   • 메서드: 디바이스 목록을 가져오는 값으로 GET 합니다.
   • URI: 를 입력합니다 https://api.securitycenter.microsoft.com/api/machines.
   • 인증: Active Directory OAuth를 선택합니다.
   • 테넌트: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.
   • 관객: https://securitycenter.onmicrosoft.com/windowsatpservice\
   • 클라이언트 ID: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 클라이언트 ID 값을 가져옵니다.
   • 자격 증명 유형: 비밀을 선택합니다.
   • 비밀: 에 로그인하고 https://portal.azure.comMicrosoft Entra ID > 앱 등록으로 이동하여 테넌트 ID 값을 가져옵니다.

   

6. 새 작업 추가 를 선택하여 새 단계를 추가한 다음 , 데이터 작업을 검색하고 JSON 구문 분석을 선택합니다.

   

7. 콘텐츠 필드에 본문을 추가합니다.

   

8. 샘플 페이로드를 사용하여 스키마 생성 링크를 선택합니다.

   

9. 다음 JSON 코드 조각을 복사하여 붙여넣습니다.

   {
       "type": "object",
       "properties": {
           "@@odata.context": {
               "type": "string"
           },
           "value": {
               "type": "array",
               "items": {
                   "type": "object",
                   "properties": {
                       "id": {
                           "type": "string"
                       },
                       "computerDnsName": {
                           "type": "string"
                       },
                       "firstSeen": {
                           "type": "string"
                       },
                       "lastSeen": {
                           "type": "string"
                       },
                       "osPlatform": {
                           "type": "string"
                       },
                       "osVersion": {},
                       "lastIpAddress": {
                           "type": "string"
                       },
                       "lastExternalIpAddress": {
                           "type": "string"
                       },
                       "agentVersion": {
                           "type": "string"
                       },
                       "osBuild": {
                           "type": "integer"
                       },
                       "healthStatus": {
                           "type": "string"
                       },
                       "riskScore": {
                           "type": "string"
                       },
                       "exposureScore": {
                           "type": "string"
                       },
                       "aadDeviceId": {},
                       "machineTags": {
                           "type": "array"
                       }
                   },
                   "required": [
                       "id",
                       "computerDnsName",
                       "firstSeen",
                       "lastSeen",
                       "osPlatform",
                       "osVersion",
                       "lastIpAddress",
                       "lastExternalIpAddress",
                       "agentVersion",
                       "osBuild",
                       "healthStatus",
                       "rbacGroupId",
                       "rbacGroupName",
                       "riskScore",
                       "exposureScore",
                       "aadDeviceId",
                       "machineTags"
                   ]
               }
           }
       }
   }
   
   

10. JSON 호출에서 값을 추출하고 온보딩된 디바이스가 SharePoint 목록에 이미 등록된 경우 다음 예제로 검사.

    • 그렇다면 알림이 트리거되지 않습니다.
    • 아니요인 경우 는 SharePoint 목록에 새로 온보딩된 디바이스를 등록하고 엔드포인트용 Defender 관리자에게 알림이 전송됩니다.

    

    

11. 조건 아래에서 "length(body('Get_items')?[' 식을 추가합니다. value'])" 및 조건을 0으로 설정합니다.

    

경고 알림

다음 이미지는 이메일 알림의 예입니다.

팁

• lastSeen만 사용하여 여기에서 필터링할 수 있습니다.

  • 60분마다:
    • 지난 7일 동안 마지막으로 본 모든 장치를 가져 가라.

• 각 디바이스의 경우:

  • 마지막으로 본 속성이 [-7일, -7일 + 60분]의 1시간 간격에 있는 경우 -> 오프보딩 가능성에 대한 경고입니다.
  • 처음 본 시간이 지난 시간에 있는 경우 -> 온보딩에 대한 경고입니다.

이 솔루션에는 중복 경고가 없습니다.

수많은 디바이스가 있는 테넌트가 있습니다. 이러한 모든 디바이스를 가져오려면 페이징이 필요할 수 있습니다.

다음 두 쿼리로 분할할 수 있습니다.

1. 오프보딩의 경우 OData $filter 사용하여 이 간격만 사용하고 조건이 충족되는 경우에만 알립니다.

2. 지난 1시간 동안 마지막으로 본 모든 디바이스를 가져와서 처음 본 속성을 검사(처음 본 속성이 지난 시간에 있는 경우 마지막으로 본 디바이스도 있어야 합니다).

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.