Jak skonfigurować przepływ dla zdarzeń za pomocą łącznika usługi Power Automate
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Automatyzacja procedur zabezpieczeń jest standardowym wymaganiem dla każdego nowoczesnego centrum operacji zabezpieczeń (SOC). Aby zespoły SOC działały w najbardziej efektywny sposób, automatyzacja jest koniecznością. Usługa Microsoft Power Automate ułatwia tworzenie zautomatyzowanych przepływów pracy i tworzenie kompleksowej automatyzacji procedur w ciągu kilku minut. Usługa Microsoft Power Automate obsługuje różne łączniki, które zostały właśnie do tego utworzone.
Ten artykuł służy do tworzenia automatyzacji wyzwalanych przez zdarzenie, na przykład podczas tworzenia nowego alertu w dzierżawie. interfejs API Microsoft Defender ma oficjalny łącznik usługi Power Automate z wieloma możliwościami.
Uwaga
Aby uzyskać więcej informacji na temat wymagań wstępnych dotyczących licencjonowania łączników w warstwie Premium, zobacz Licencjonowanie łączników w warstwie Premium.
Przykład użycia
W poniższym przykładzie pokazano, jak utworzyć przepływ wyzwalany za każdym razem, gdy w dzierżawie wystąpi nowy alert. Będziesz kierować się definiowaniem, jakie zdarzenie uruchamia przepływ i jakie kolejne działania zostaną podjęte po wystąpieniu tego wyzwalacza.
Zaloguj się do usługi Microsoft Power Automate.
Przejdź do obszaru Moje przepływy>Nowa>automatyzacja z pustego obszaru.
Wybierz nazwę przepływu, wyszukaj wyzwalacz "Microsoft Defender WYZWALACZE USŁUGI ATP", a następnie wybierz nowy wyzwalacz Alerty.
Teraz masz przepływ wyzwalany za każdym razem, gdy pojawia się nowy alert.
Wszystko, co musisz teraz zrobić, to wybrać kolejne kroki. Na przykład można wyizolować urządzenie, jeśli ważność alertu jest wysoka, i wysłać wiadomość e-mail na jego temat. Wyzwalacz alertu zawiera tylko identyfikator alertu i identyfikator maszyny. Możesz użyć łącznika, aby rozwinąć te jednostki.
Pobieranie jednostki Alert przy użyciu łącznika
Wybierz Microsoft Defender atp dla nowego kroku.
Wybierz pozycję Alerty — pobierz interfejs API pojedynczego alertu.
Ustaw identyfikator alertu z ostatniego kroku jako dane wejściowe.
Wyizoluj urządzenie, jeśli ważność alertu jest wysoka
Dodaj warunek jako nowy krok.
Sprawdź, czy ważność alertu jest równa Wysoki.
Jeśli tak, dodaj akcję Microsoft Defender ATP — izolowanie maszyny przy użyciu identyfikatora maszyny i komentarza.
Dodaj nowy krok do obsługi wiadomości e-mail dotyczących alertu i izolacji. Istnieje wiele łączników poczty e-mail, które są łatwe w użyciu, takich jak Outlook lub Gmail.
Zapisz przepływ.
Można również utworzyć zaplanowany przepływ, który uruchamia zapytania zaawansowane wyszukiwania zagrożeń i wiele więcej!
Temat pokrewny
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.