Slik bruker du Power Automate Connector til å konfigurere en flyt for hendelser
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Automatisering av sikkerhetsprosedyrer er et standardkrav for hvert moderne Security Operations Center (SOC). For at SOC-team skal kunne operere på den mest effektive måten, er automatisering et must. Bruk Microsoft Power Automate til å hjelpe deg med å opprette automatiserte arbeidsflyter og bygge en ende-til-ende-prosedyreautomatisering i løpet av få minutter. Microsoft Power Automate støtter forskjellige koblinger som ble bygget nøyaktig for dette.
Bruk denne artikkelen til å hjelpe deg med å opprette automatiseringer som utløses av en hendelse, for eksempel når det opprettes et nytt varsel i leieren. Microsoft Defender API har en offisiell Power Automate Connector med mange funksjoner.
Obs!
Hvis du vil ha mer informasjon om forutsetninger for lisensiering av Premium-koblinger, kan du se Lisensiering for Premium-koblinger.
Eksempel på bruk
Det følgende eksemplet viser hvordan du oppretter en flyt som utløses når et nytt varsel forekommer på leieren. Du blir veiledet om å definere hvilken hendelse som starter flyten, og hvilken neste handling som skal utføres når denne utløseren oppstår.
Logg på Microsoft Power Automate.
Gå til Mine flyter>Ny>automatisert fra grunnen av.
Velg et navn for flyten, søk etter «Microsoft Defender ATP-utløsere» som utløser, og velg deretter den nye Varsler-utløseren.
Nå har du en flyt som utløses hver gang det oppstår et nytt varsel.
Alt du trenger å gjøre nå, er å velge de neste trinnene. Du kan for eksempel isolere enheten hvis alvorsgraden for varselet er høy og sende en e-postmelding om den. Varselutløseren inneholder bare varsel-ID-en og maskin-ID-en. Du kan bruke koblingen til å utvide disse enhetene.
Få varselenheten ved hjelp av koblingen
Velg Microsoft Defender ATP for det nye trinnet.
Velg Varsler – Få API med ett varsel.
Angi varsel-ID-en fra det siste trinnet som Inndata.
Isolere enheten hvis alvorsgraden for varselet er høy
Legg til betingelse som et nytt trinn.
Kontroller om alvorsgraden for varselet er lik Høy.
Hvis ja, legger du til Microsoft Defender ATP – Isolere maskinhandling med maskin-ID-en og en kommentar.
Legg til et nytt trinn for e-post om varselet og isolasjonen. Det finnes flere e-postkoblinger som er enkle å bruke, for eksempel Outlook eller Gmail.
Lagre flyten.
Du kan også opprette en planlagt flyt som kjører Avansert jakt-spørringer og mye mer!
Beslektet emne
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for