Jak skonfigurować przepływ dla zdarzeń za pomocą łącznika usługi Power Automate

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Automatyzacja procedur zabezpieczeń jest standardowym wymaganiem dla każdego nowoczesnego centrum operacji zabezpieczeń (SOC). Aby zespoły SOC działały w najbardziej efektywny sposób, automatyzacja jest koniecznością. Usługa Microsoft Power Automate ułatwia tworzenie zautomatyzowanych przepływów pracy i tworzenie kompleksowej automatyzacji procedur w ciągu kilku minut. Usługa Microsoft Power Automate obsługuje różne łączniki, które zostały właśnie do tego utworzone.

Ten artykuł służy do tworzenia automatyzacji wyzwalanych przez zdarzenie, na przykład podczas tworzenia nowego alertu w dzierżawie. interfejs API Microsoft Defender ma oficjalny łącznik usługi Power Automate z wieloma możliwościami.

Strona Akcje w portalu Microsoft Defender 365

Uwaga

Aby uzyskać więcej informacji na temat wymagań wstępnych dotyczących licencjonowania łączników w warstwie Premium, zobacz Licencjonowanie łączników w warstwie Premium.

Przykład użycia

W poniższym przykładzie pokazano, jak utworzyć przepływ wyzwalany za każdym razem, gdy w dzierżawie wystąpi nowy alert. Będziesz kierować się definiowaniem, jakie zdarzenie uruchamia przepływ i jakie kolejne działania zostaną podjęte po wystąpieniu tego wyzwalacza.

  1. Zaloguj się do usługi Microsoft Power Automate.

  2. Przejdź do obszaru Moje przepływy>Nowa>automatyzacja z pustego obszaru.

    Okienko Nowy przepływ w obszarze Element menu Moje przepływy w portalu Microsoft Defender 365

  3. Wybierz nazwę przepływu, wyszukaj wyzwalacz "Microsoft Defender WYZWALACZE USŁUGI ATP", a następnie wybierz nowy wyzwalacz Alerty.

    Sekcja Wybieranie wyzwalacza przepływu w portalu Microsoft Defender 365

Teraz masz przepływ wyzwalany za każdym razem, gdy pojawia się nowy alert.

Opis wyzwalacza

Wszystko, co musisz teraz zrobić, to wybrać kolejne kroki. Na przykład można wyizolować urządzenie, jeśli ważność alertu jest wysoka, i wysłać wiadomość e-mail na jego temat. Wyzwalacz alertu zawiera tylko identyfikator alertu i identyfikator maszyny. Możesz użyć łącznika, aby rozwinąć te jednostki.

Pobieranie jednostki Alert przy użyciu łącznika

  1. Wybierz Microsoft Defender atp dla nowego kroku.

  2. Wybierz pozycję Alerty — pobierz interfejs API pojedynczego alertu.

  3. Ustaw identyfikator alertu z ostatniego kroku jako dane wejściowe.

    Okienko Alerty

Wyizoluj urządzenie, jeśli ważność alertu jest wysoka

  1. Dodaj warunek jako nowy krok.

  2. Sprawdź, czy ważność alertu jest równa Wysoki.

    Jeśli tak, dodaj akcję Microsoft Defender ATP — izolowanie maszyny przy użyciu identyfikatora maszyny i komentarza.

    Okienko Akcje

  3. Dodaj nowy krok do obsługi wiadomości e-mail dotyczących alertu i izolacji. Istnieje wiele łączników poczty e-mail, które są łatwe w użyciu, takich jak Outlook lub Gmail.

  4. Zapisz przepływ.

Można również utworzyć zaplanowany przepływ, który uruchamia zapytania zaawansowane wyszukiwania zagrożeń i wiele więcej!

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.