Udostępnij za pośrednictwem

Tworzenie reguły powiadomień w przypadku użycia lokalnego skryptu dołączania lub odłączania

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, zamiast korzystać z api.security.microsoft.com, użyj serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com
  • aea.api.security.microsoft.com

Utwórz regułę powiadomień, aby po użyciu lokalnego skryptu dołączania lub odłączania otrzymasz powiadomienie.

Przed rozpoczęciem

Musisz mieć dostęp do:

  • Power Automate (plan dla poszczególnych użytkowników co najmniej). Aby uzyskać więcej informacji, zobacz stronę cennika usługi Power Automate.
  • Azure table lub SharePoint List lub Library / SQL DB.

Tworzenie przepływu powiadomień

  1. W make.powerautomate.com.

  2. Przejdź do obszaru Moje przepływy > Nowy > zaplanowany — od pustego.

    Przepływ

  3. Tworzenie zaplanowanego przepływu.

    1. Wprowadź nazwę przepływu.
    2. Określ godzinę i godzinę rozpoczęcia.
    3. Określ częstotliwość. Na przykład co 5 minut.

    Przepływ powiadomień

  4. Wybierz przycisk + , aby dodać nową akcję. Nowa akcja to żądanie HTTP do interfejsu API urządzeń usługi Defender for Endpoint. Można go również zastąpić wbudowanym łącznikiem WDATP (akcja: Maszyny — pobieranie listy maszyn).

    Cykl i akcja dodawania

  5. Wprowadź następujące pola HTTP:

    • Metoda: GET jako wartość, aby uzyskać listę urządzeń.
    • Identyfikator URI: wprowadź https://api.securitycenter.microsoft.com/api/machineswartość .
    • Uwierzytelnianie: wybierz pozycję Active Directory OAuth.
    • Dzierżawa: zaloguj się i https://portal.azure.com przejdź do Microsoft Entra ID > Rejestracje aplikacji i uzyskaj wartość Identyfikator dzierżawy.
    • Publiczności: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • Identyfikator klienta: zaloguj się i https://portal.azure.com przejdź do obszaru > Microsoft Entra ID Rejestracje aplikacji i uzyskaj wartość identyfikatora klienta.
    • Typ poświadczeń: wybierz pozycję Wpis tajny.
    • Wpis tajny: zaloguj się i https://portal.azure.com przejdź do Microsoft Entra ID > Rejestracje aplikacji i uzyskaj wartość identyfikatora dzierżawy.

    Warunki protokołu HTTP

  6. Dodaj nowy krok, wybierając pozycję Dodaj nową akcję , a następnie wyszukaj pozycję Operacje na danych i wybierz pozycję Przeanalizuj kod JSON.

    Wpis operacji na danych

  7. Dodaj treść w polu Zawartość .

    Sekcja analizowania kodu JSON

  8. Wybierz link Użyj przykładowego ładunku, aby wygenerować schemat. Analizowanie kodu JSON z ładunkiem

  9. Skopiuj i wklej następujący fragment kodu JSON:

    {
    "type": "object",
    "properties": {
        "@@odata.context": {
            "type": "string"
        },
        "value": {
            "type": "array",
            "items": {
                "type": "object",
                "properties": {
                    "id": {
                        "type": "string"
                    },
                    "computerDnsName": {
                        "type": "string"
                    },
                    "firstSeen": {
                        "type": "string"
                    },
                    "lastSeen": {
                        "type": "string"
                    },
                    "osPlatform": {
                        "type": "string"
                    },
                    "osVersion": {},
                    "lastIpAddress": {
                        "type": "string"
                    },
                    "lastExternalIpAddress": {
                        "type": "string"
                    },
                    "agentVersion": {
                        "type": "string"
                    },
                    "osBuild": {
                        "type": "integer"
                    },
                    "healthStatus": {
                        "type": "string"
                    },
                    "riskScore": {
                        "type": "string"
                    },
                    "exposureScore": {
                        "type": "string"
                    },
                    "aadDeviceId": {},
                    "machineTags": {
                        "type": "array"
                    }
                },
                "required": [
                    "id",
                    "computerDnsName",
                    "firstSeen",
                    "lastSeen",
                    "osPlatform",
                    "osVersion",
                    "lastIpAddress",
                    "lastExternalIpAddress",
                    "agentVersion",
                    "osBuild",
                    "healthStatus",
                    "rbacGroupId",
                    "rbacGroupName",
                    "riskScore",
                    "exposureScore",
                    "aadDeviceId",
                    "machineTags"
                ]
            }
        }
    }
}

  10. Wyodrębnij wartości z wywołania JSON i sprawdź, czy dołączone urządzenia są już zarejestrowane na liście programu SharePoint jako przykład:

    • Jeśli tak, nie jest wyzwalane żadne powiadomienie
    • Jeśli nie, zarejestruje nowo dołączone urządzenia na liście programu SharePoint, a powiadomienie zostanie wysłane do administratora usługi Defender for Endpoint

    Zastosowanie przepływu do każdego elementu

    Aplikacja przepływu do elementu Pobierz elementy

  11. W obszarze Warunek dodaj następujące wyrażenie: "length(body('Get_items')?[' value'])" i ustaw warunek na 0.

    Zastosowanie przepływu do każdego warunku Warunek-1 Warunek-2 Sekcja Wyślij wiadomość e-mail

Powiadomienie o alertie

Poniższy obraz jest przykładem powiadomienia e-mail.

Ekran powiadomień e-mail

Porady

  • W tym miejscu można filtrować tylko przy użyciu funkcji lastSeen:

    • Co 60 minut:
      • Weź wszystkie urządzenia ostatni raz widoczne w ciągu ostatnich siedmiu dni.

  • Dla każdego urządzenia:

    • Jeśli ostatnio widziana właściwość znajduje się w interwale jednej godziny [-7 dni, -7 dni + 60 minut] —> alert dotyczący możliwości odłączania.
    • Jeśli po raz pierwszy widziano jest w ciągu ostatniej godziny —> alert dotyczący dołączania.

W tym rozwiązaniu nie masz zduplikowanych alertów.

Istnieją dzierżawy, które mają wiele urządzeń. Pobieranie wszystkich tych urządzeń może wymagać stronicowania.

Można go podzielić na dwa zapytania:

  1. W przypadku odłączania należy wykonać tylko ten interwał przy użyciu $filter OData i powiadamiać tylko wtedy, gdy warunki zostaną spełnione.

  2. Weź wszystkie urządzenia ostatni raz widoczne w ciągu ostatniej godziny i sprawdź dla nich właściwość first seen (jeśli pierwsza widziana właściwość znajduje się w ciągu ostatniej godziny, ostatnia widoczna również musi tam być).

  • Last updated on