Del via

Slik bruker du Power Automate Connector til å konfigurere en flyt for hendelser

  • Artikkel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Automatisering av sikkerhetsprosedyrer er et standardkrav for hvert moderne Security Operations Center (SOC). For at SOC-team skal kunne operere på den mest effektive måten, er automatisering et must. Bruk Microsoft Power Automate til å hjelpe deg med å opprette automatiserte arbeidsflyter og bygge en ende-til-ende-prosedyreautomatisering i løpet av få minutter. Microsoft Power Automate støtter forskjellige koblinger som ble bygget nøyaktig for dette.

Bruk denne artikkelen til å hjelpe deg med å opprette automatiseringer som utløses av en hendelse, for eksempel når det opprettes et nytt varsel i leieren. Microsoft Defender API har en offisiell Power Automate Connector med mange funksjoner.

Handlinger-siden i Microsoft Defender 365-portalen

Obs!

Hvis du vil ha mer informasjon om forutsetninger for lisensiering av Premium-koblinger, kan du se Lisensiering for Premium-koblinger.

Eksempel på bruk

Det følgende eksemplet viser hvordan du oppretter en flyt som utløses når et nytt varsel forekommer på leieren. Du blir veiledet om å definere hvilken hendelse som starter flyten, og hvilken neste handling som skal utføres når denne utløseren oppstår.

  1. Logg på Microsoft Power Automate.

  2. Gå til Mine flyter>Ny>automatisert fra grunnen av.

    Ny flyt-ruten under Menyelementet Mine flyter i Microsoft Defender 365-portalen

  3. Velg et navn for flyten, søk etter «Microsoft Defender ATP-utløsere» som utløser, og velg deretter den nye Varsler-utløseren.

    Delen Velg flytens utløser i Microsoft Defender 365-portalen

Nå har du en flyt som utløses hver gang det oppstår et nytt varsel.

En utløserbeskrivelse

Alt du trenger å gjøre nå, er å velge de neste trinnene. Du kan for eksempel isolere enheten hvis alvorsgraden for varselet er høy og sende en e-postmelding om den. Varselutløseren inneholder bare varsel-ID-en og maskin-ID-en. Du kan bruke koblingen til å utvide disse enhetene.

Få varselenheten ved hjelp av koblingen

  1. Velg Microsoft Defender ATP for det nye trinnet.

  2. Velg Varsler – Få API med ett varsel.

  3. Angi varsel-ID-en fra det siste trinnet som Inndata.

    Varsler-ruten

Isolere enheten hvis alvorsgraden for varselet er høy

  1. Legg til betingelse som et nytt trinn.

  2. Kontroller om alvorsgraden for varselet er lik Høy.

    Hvis ja, legger du til Microsoft Defender ATP – Isolere maskinhandling med maskin-ID-en og en kommentar.

    Handlinger-ruten

  3. Legg til et nytt trinn for e-post om varselet og isolasjonen. Det finnes flere e-postkoblinger som er enkle å bruke, for eksempel Outlook eller Gmail.

  4. Lagre flyten.

Du kan også opprette en planlagt flyt som kjører Avansert jakt-spørringer og mye mer!

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.