Opprette en varslingsregel når et lokalt pålastings- eller avlastingsskript brukes
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opprett en varslingsregel slik at når et lokalt pålastings- eller avlastingsskript brukes, blir du varslet.
Før du starter
Du må ha tilgang til:
- Power Automate (per bruker-abonnement på et minimum). Hvis du vil ha mer informasjon, kan du se power automate-prissiden.
- Azure-tabell eller SharePoint-liste eller -bibliotek / SQL DB.
Opprett varslingsflyten
Gå til Mine flyter > Ny > planlagt – fra tom.
Bygg en planlagt flyt.
- Skriv inn et flytnavn.
- Angi start og klokkeslett.
- Angi frekvensen. For eksempel hvert femte minutt.
Velg +-knappen for å legge til en ny handling. Den nye handlingen er en HTTP-forespørsel til API-en for Defender for Endpoint-enheter. Du kan også erstatte den med den ut-av-boksen WDATP Connector (handling: Maskiner - Få liste over maskiner).
Skriv inn følgende HTTP-felt:
- Metode: HENT som en verdi for å hente listen over enheter.
- URI: Enter
https://api.securitycenter.microsoft.com/api/machines
. - Godkjenning: Velg Active Directory OAuth.
- Leier: Logg deg på og naviger til Appregistreringer for Microsoft Entra ID > og hent leier-ID-verdienhttps://portal.azure.com.
- Publikum:
https://securitycenter.onmicrosoft.com/windowsatpservice\
- Klient-ID: Logg på og naviger til App-registreringer for Microsoft Entra ID > og hent klient-ID-verdienhttps://portal.azure.com.
- Legitimasjonstype: Velg hemmelig.
- Hemmelig: Logg deg på og naviger til appregistreringer for Microsoft Entra ID > og hent verdien for leier-IDhttps://portal.azure.com.
Legg til et nytt trinn ved å velge Legg til ny handling , og søk deretter etter Dataoperasjoner , og velg Analyser JSON.
Legg til brødtekst i Innhold-feltet .
Velg Bruk eksempelnyttelast for å generere skjemakobling .
Kopier og lim inn følgende JSON-kodesnutt:
{ "type": "object", "properties": { "@@odata.context": { "type": "string" }, "value": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "computerDnsName": { "type": "string" }, "firstSeen": { "type": "string" }, "lastSeen": { "type": "string" }, "osPlatform": { "type": "string" }, "osVersion": {}, "lastIpAddress": { "type": "string" }, "lastExternalIpAddress": { "type": "string" }, "agentVersion": { "type": "string" }, "osBuild": { "type": "integer" }, "healthStatus": { "type": "string" }, "riskScore": { "type": "string" }, "exposureScore": { "type": "string" }, "aadDeviceId": {}, "machineTags": { "type": "array" } }, "required": [ "id", "computerDnsName", "firstSeen", "lastSeen", "osPlatform", "osVersion", "lastIpAddress", "lastExternalIpAddress", "agentVersion", "osBuild", "healthStatus", "rbacGroupId", "rbacGroupName", "riskScore", "exposureScore", "aadDeviceId", "machineTags" ] } } } }
Trekk ut verdiene fra JSON-kallet, og kontroller om de innebygde enhetene er / allerede er registrert i SharePoint-listen som et eksempel:
- Hvis ja, utløses ingen varsling
- Hvis nei, registreres de nylig pålastede enhetene i SharePoint-listen, og et varsel sendes til Defender for Endpoint-administratoren
Legg til følgende uttrykk under Betingelse: «length(body('Get_items')?[' value'])" og angi betingelsen til lik 0.
Varselvarsel
Bildet nedenfor er et eksempel på et e-postvarsel.
Tips
Du kan filtrere her bare ved hjelp av lastSeen:
- Hver 60. min:
- Ta alle enheter som sist er sett de siste sju dagene.
- Hver 60. min:
For hver enhet:
- Hvis sist sett egenskapen er på én time intervall av [-7 dager, -7 dager + 60 minutter] -> Varsel for offboarding mulighet.
- Hvis det først er sett er på den siste timen -> Varsel for pålasting.
I denne løsningen har du ikke dupliserte varsler.
Det finnes leiere som har mange enheter. Henting av alle disse enhetene kan kreve sideveksling.
Du kan dele den opp i to spørringer:
For offboarding ta bare dette intervallet ved hjelp av OData $filter og bare varsle hvis betingelsene er oppfylt.
Ta alle enheter som sist ble sett i løpet av den siste timen, og sjekk først sett egenskap for dem (hvis den første sett egenskapen er på den siste timen, må den siste sett være der også).
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.