Share via


Opprett en varslingsregel når et lokalt pålastings- eller avlastingsskript brukes

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for endepunkt for US Government-kunder.

Tips

Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Opprett en varslingsregel slik at når et lokalt pålastings- eller avlastingsskript brukes, blir du varslet.

Før du starter

Du må ha tilgang til:

  • Power Automate (per bruker-abonnement på et minimum). Hvis du vil ha mer informasjon, kan du se power automate-prissiden.
  • Azure-tabell eller SharePoint-liste eller -bibliotek / SQL DB.

Opprett varslingsflyten

  1. I make.powerautomate.com.

  2. Gå til Mine flyter > Ny > planlagt – fra tom.

    Flyten

  3. Bygg en planlagt flyt.

    1. Skriv inn et flytnavn.
    2. Angi start og klokkeslett.
    3. Angi frekvensen. For eksempel hvert femte minutt.

    Varslingsflyten

  4. Velg +-knappen for å legge til en ny handling. Den nye handlingen er en HTTP-forespørsel til API-en for Defender for Endpoint-enheter. Du kan også erstatte den med den ut-av-boksen WDATP Connector (handling: Maskiner - Få liste over maskiner).

    Regelmessigheten og legg til handling

  5. Skriv inn følgende HTTP-felt:

    • Metode: HENT som en verdi for å hente listen over enheter.
    • URI: Enter https://api.securitycenter.microsoft.com/api/machines.
    • Godkjenning: Velg Active Directory OAuth.
    • Leier: Logg på og naviger til Microsoft Entra ID > appregistreringer og få leier-ID-verdienhttps://portal.azure.com.
    • Publikum: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • Klient-ID: Logg deg på og naviger til Microsoft Entra ID > appregistreringer og få klient-ID-verdienhttps://portal.azure.com.
    • Legitimasjonstype: Velg hemmelig.
    • Hemmelighet: Logg deg på og naviger til Microsoft Entra ID > appregistreringer og hent leier-ID-verdienhttps://portal.azure.com.

    HTTP-betingelsene

  6. Legg til et nytt trinn ved å velge Legg til ny handling , og søk deretter etter Dataoperasjoner , og velg Analyser JSON.

    Dataoperasjonsoppføringen

  7. Legg til brødtekst i Innhold-feltet .

    Delen Analyser JSON

  8. Velg Bruk eksempelnyttelast for å generere skjemakobling .

    Analyser JSON med nyttelast

  9. Kopier og lim inn følgende JSON-kodesnutt:

    {
        "type": "object",
        "properties": {
            "@@odata.context": {
                "type": "string"
            },
            "value": {
                "type": "array",
                "items": {
                    "type": "object",
                    "properties": {
                        "id": {
                            "type": "string"
                        },
                        "computerDnsName": {
                            "type": "string"
                        },
                        "firstSeen": {
                            "type": "string"
                        },
                        "lastSeen": {
                            "type": "string"
                        },
                        "osPlatform": {
                            "type": "string"
                        },
                        "osVersion": {},
                        "lastIpAddress": {
                            "type": "string"
                        },
                        "lastExternalIpAddress": {
                            "type": "string"
                        },
                        "agentVersion": {
                            "type": "string"
                        },
                        "osBuild": {
                            "type": "integer"
                        },
                        "healthStatus": {
                            "type": "string"
                        },
                        "riskScore": {
                            "type": "string"
                        },
                        "exposureScore": {
                            "type": "string"
                        },
                        "aadDeviceId": {},
                        "machineTags": {
                            "type": "array"
                        }
                    },
                    "required": [
                        "id",
                        "computerDnsName",
                        "firstSeen",
                        "lastSeen",
                        "osPlatform",
                        "osVersion",
                        "lastIpAddress",
                        "lastExternalIpAddress",
                        "agentVersion",
                        "osBuild",
                        "healthStatus",
                        "rbacGroupId",
                        "rbacGroupName",
                        "riskScore",
                        "exposureScore",
                        "aadDeviceId",
                        "machineTags"
                    ]
                }
            }
        }
    }
    
    
  10. Trekk ut verdiene fra JSON-kallet, og kontroller om de innebygde enhetene er / allerede er registrert i SharePoint-listen som et eksempel:

    • Hvis ja, utløses ingen varsling
    • Hvis nei, registreres de nylig pålastede enhetene i SharePoint-listen, og et varsel sendes til Defender for Endpoint-administratoren

    Bruk av flyten til hvert element

    Programmet for flyten til Hent elementer-elementet

  11. Legg til følgende uttrykk under Betingelse: «length(body('Get_items')?[' value'])" og angi betingelsen til lik 0.

    Bruk av flyten til hver betingelseBetingelsen-1Betingelsen-2Delen Send en e-post

Varselvarsel

Bildet nedenfor er et eksempel på et e-postvarsel.

Skjermbildet for e-postvarsling

Tips

  • Du kan filtrere her bare ved hjelp av lastSeen:

    • Hver 60. min:
      • Ta alle enheter som sist er sett de siste sju dagene.
  • For hver enhet:

    • Hvis sist sett egenskapen er på én time intervall av [-7 dager, -7 dager + 60 minutter] -> Varsel for offboarding mulighet.
    • Hvis det først er sett er på den siste timen -> Varsel for pålasting.

I denne løsningen har du ikke dupliserte varsler.

Det finnes leiere som har mange enheter. Henting av alle disse enhetene kan kreve sideveksling.

Du kan dele den opp i to spørringer:

  1. For offboarding ta bare dette intervallet ved hjelp av OData $filter og bare varsle hvis betingelsene er oppfylt.

  2. Ta alle enheter som sist ble sett i løpet av den siste timen, og sjekk først sett egenskap for dem (hvis den første sett egenskapen er på den siste timen, må den siste sett være der også).

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.