Badanie alertów w Microsoft Defender XDR

  • Artykuł

Uwaga

Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.

Dotyczy:

  • Microsoft Defender XDR

Uwaga

W tym artykule opisano alerty zabezpieczeń w Microsoft Defender XDR. Można jednak używać alertów aktywności do wysyłania powiadomień e-mail do siebie lub innych administratorów, gdy użytkownicy wykonują określone działania na platformie Microsoft 365. Aby uzyskać więcej informacji, zobacz Tworzenie alertów dotyczących działań — Microsoft Purview | Microsoft Docs.

Alerty są podstawą wszystkich zdarzeń i wskazują wystąpienie złośliwych lub podejrzanych zdarzeń w środowisku. Alerty są zazwyczaj częścią szerszego ataku i dostarczają wskazówek dotyczących zdarzenia.

W Microsoft Defender XDR powiązane alerty są agregowane razem w celu utworzenia zdarzeń. Incydenty zawsze zapewniają szerszy kontekst ataku, jednak analizowanie alertów może być przydatne, gdy wymagana jest dokładniejsza analiza.

W kolejce Alerty jest wyświetlany bieżący zestaw alertów. Do kolejki alertów można dostać się z obszaru Zdarzenia & alerty alerty > po szybkim uruchomieniu portalu Microsoft Defender.

Sekcja Alerty w portalu Microsoft Defender

Alerty z różnych rozwiązań zabezpieczeń firmy Microsoft, takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender i Microsoft Defender XDR zostaną wyświetlone tutaj.

Domyślnie kolejka alertów w portalu Microsoft Defender wyświetla nowe i w toku alerty z ostatnich 30 dni. Najnowszy alert znajduje się w górnej części listy, więc możesz go najpierw zobaczyć.

W domyślnej kolejce alertów możesz wybrać pozycję Filtr , aby wyświetlić okienko Filtr , z którego można określić podzestaw alertów. Oto przykład.

Sekcja Filtry w portalu Microsoft Defender.

Alerty można filtrować zgodnie z następującymi kryteriami:

  • Waga
  • Stan
  • Źródła usług
  • Jednostki (zasoby, których dotyczy problem)
  • Stan zautomatyzowanego badania

Wymagane role dla alertów Ochrona usługi Office 365 w usłudze Defender

Aby uzyskać dostęp do alertów Ochrona usługi Office 365 w usłudze Microsoft Defender, musisz mieć dowolną z następujących ról:

  • W przypadku Microsoft Entra ról globalnych:

    • Administrator globalny
    • Administrator zabezpieczeń
    • Operator zabezpieczeń
    • Czytelnik globalny
    • Czytelnik zabezpieczeń

  • grupy ról & zgodności Office 365 zabezpieczeń

    • Administrator zgodności
    • Zarządzanie organizacją

  • Rola niestandardowa

Analizowanie alertu

Aby wyświetlić główną stronę alertu, wybierz nazwę alertu. Oto przykład.

Zrzut ekranu przedstawiający szczegóły alertu w portalu Microsoft Defender

Możesz również wybrać akcję Otwórz główną stronę alertu w okienku Zarządzanie alertami .

Strona alertu składa się z następujących sekcji:

  • Historia alertów, czyli łańcuch zdarzeń i alertów związanych z tym alertem w kolejności chronologicznej
  • Szczegóły podsumowania

Na stronie alertu możesz wybrać wielokropek (...) obok dowolnej jednostki, aby wyświetlić dostępne akcje, takie jak łączenie alertu z innym incydentem. Lista dostępnych akcji zależy od typu alertu.

Źródła alertów

Microsoft Defender XDR alerty mogą pochodzić z rozwiązań takich jak Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, dodatek ładu aplikacji dla Microsoft Defender for Cloud Apps, Ochrona tożsamości Microsoft Entra i microsoft data loss prevention. Możesz zauważyć alerty z przedpłaconymi znakami w alercie. Poniższa tabela zawiera wskazówki ułatwiające zrozumienie mapowania źródeł alertów na podstawie wstępnie utworzonego znaku alertu.

Uwaga

  • Przedpłacone identyfikatory GUID są specyficzne tylko dla ujednoliconych środowisk, takich jak ujednolicona kolejka alertów, strona ujednoliconych alertów, ujednolicone badanie i ujednolicone zdarzenie.
  • Znak przedprodukowany nie zmienia identyfikatora GUID alertu. Jedyną zmianą identyfikatora GUID jest składnik przedprodukowany.
Źródło alertu Znak przedprodukowany
Microsoft Defender XDR ra
ta for ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Ochrona usługi Office 365 w usłudze Microsoft Defender fa{GUID}
Przykład: fa123a456b-c789-1d2e-12f1g33h445h6i
Ochrona punktu końcowego w usłudze Microsoft Defender da lub ed dla alertów wykrywania niestandardowego
Microsoft Defender for Identity aa{GUID}
Przykład: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Przykład: ca123a456b-c789-1d2e-12f1g33h445h6i
Ochrona tożsamości Microsoft Entra ad
Zarządzanie aplikacjami ma
Ochrona przed utratą danych firmy Microsoft dl

Konfigurowanie usługi alertów Microsoft Entra IP

  1. Przejdź do portalu Microsoft Defender (security.microsoft.com), wybierz pozycję Ustawienia>Microsoft Defender XDR.

  2. Z listy wybierz pozycję Ustawienia usługi alertów, a następnie skonfiguruj usługę alertów Ochrona tożsamości Microsoft Entra.

    Zrzut ekranu przedstawiający ustawienie alertów Ochrona tożsamości Microsoft Entra w portalu Microsoft Defender.

Domyślnie włączone są tylko najbardziej odpowiednie alerty dla centrum operacji zabezpieczeń. Jeśli chcesz uzyskać wszystkie Microsoft Entra wykrywanie ryzyka adresów IP, możesz je zmienić w sekcji Ustawienia usługi alertów.

Dostęp do ustawień usługi Alert można również uzyskać bezpośrednio ze strony Zdarzenia w portalu Microsoft Defender.

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Analizowanie zasobów, których dotyczy problem

Sekcja Podjęte akcje zawiera listę elementów zawartości, których dotyczy problem, takich jak skrzynki pocztowe, urządzenia i użytkownicy, których dotyczy ten alert.

Możesz również wybrać pozycję Widok w centrum akcji, aby wyświetlić kartę Historiacentrum akcji w portalu Microsoft Defender.

Śledzenie roli alertu w historii alertu

W scenariuszu alertu zostaną wyświetlone wszystkie zasoby lub jednostki związane z alertem w widoku drzewa procesów. Alert w tytule jest tym, który koncentruje się po pierwszym wylądowaniu na stronie wybranego alertu. Zasoby w wątku alertu można rozszerzać i klikać. Udostępniają one dodatkowe informacje i przyspieszają reagowanie, umożliwiając podjęcie akcji bezpośrednio w kontekście strony alertu.

Uwaga

Sekcja dotycząca alertów może zawierać więcej niż jeden alert z dodatkowymi alertami dotyczącymi tego samego drzewa wykonywania wyświetlanymi przed wybranym alertem lub po nim.

Wyświetl więcej informacji o alertach na stronie szczegółów

Na stronie szczegółów są wyświetlane szczegóły wybranego alertu ze szczegółami i powiązanymi z nim akcjami. Jeśli wybierzesz dowolny z elementów zawartości lub jednostek, których dotyczy problem, w wątku alertu strona szczegółów zmieni się, aby udostępnić informacje kontekstowe i akcje dla wybranego obiektu.

Po wybraniu interesującej jednostki strona szczegółów zmienia się, aby wyświetlić informacje o wybranym typie jednostki, informacje historyczne, gdy są dostępne, oraz opcje podejmowania działań na tej jednostce bezpośrednio ze strony alertu.

Zarządzaj alertami

Aby zarządzać alertem, wybierz pozycję Zarządzaj alertem w sekcji szczegóły podsumowania na stronie alertu. W przypadku pojedynczego alertu oto przykład okienka Zarządzanie alertami .

Zrzut ekranu przedstawiający sekcję Zarządzanie alertami w portalu Microsoft Defender

Okienko Zarządzanie alertami umożliwia wyświetlanie lub określanie:

  • Stan alertu (Nowy, Rozwiązany, W toku).
  • Konto użytkownika, do których przypisano alert.
  • Klasyfikacja alertu:
    • Nie ustawiono (wartość domyślna).
    • Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji dla alertów, które dokładnie wskazują rzeczywiste zagrożenie. Określenie tego typu zagrożeń powoduje, że zespół ds. zabezpieczeń widzi wzorce zagrożeń i działa w celu ochrony organizacji przed nimi.
    • Działanie informacyjne, oczekiwane z typem działania. Użyj tej opcji w przypadku alertów, które są technicznie dokładne, ale reprezentują normalne zachowanie lub symulowane działanie zagrożeń. Zazwyczaj chcesz zignorować te alerty, ale spodziewaj się ich podobnych działań w przyszłości, w których działania są wyzwalane przez rzeczywiste osoby atakujące lub złośliwe oprogramowanie. Użyj opcji w tej kategorii, aby sklasyfikować alerty dla testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
    • Wynik fałszywie dodatni dla typów alertów, które zostały utworzone nawet wtedy, gdy nie ma złośliwego działania lub fałszywego alarmu. Użyj opcji w tej kategorii, aby sklasyfikować alerty, które zostały błędnie zidentyfikowane jako normalne zdarzenia lub działania jako złośliwe lub podejrzane. W przeciwieństwie do alertów dotyczących "działania informacyjnego, oczekiwanego", które może być również przydatne do wykrywania rzeczywistych zagrożeń, zazwyczaj nie chcesz ponownie wyświetlać tych alertów. Klasyfikowanie alertów jako fałszywie dodatnich pomaga Microsoft Defender XDR poprawić jego jakość wykrywania.
  • Komentarz do alertu.

Uwaga

Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.

Uwaga

Jednym ze sposobów zarządzania alertami jest użycie tagów. Możliwość tagowania dla Ochrona usługi Office 365 w usłudze Microsoft Defender jest wdrażana przyrostowo i jest obecnie dostępna w wersji zapoznawczej.

Obecnie zmodyfikowane nazwy tagów są stosowane tylko do alertów utworzonych po aktualizacji. Alerty, które zostały wygenerowane przed modyfikacją, nie będą odzwierciedlać zaktualizowanej nazwy tagu.

Aby zarządzać zestawem alertów podobnym do określonego alertu, wybierz pozycję Wyświetl podobne alerty w polu INSIGHT w sekcji szczegóły podsumowania na stronie alertu.

Zrzut ekranu przedstawiający wybieranie alertu w portalu Microsoft Defender

W okienku Zarządzanie alertami można następnie sklasyfikować wszystkie powiązane alerty w tym samym czasie. Oto przykład.

Zrzut ekranu przedstawiający zarządzanie powiązanymi alertami w portalu Microsoft Defender

Jeśli podobne alerty zostały już sklasyfikowane w przeszłości, możesz zaoszczędzić czas, korzystając z Microsoft Defender XDR zaleceń, aby dowiedzieć się, jak zostały rozwiązane inne alerty. W sekcji szczegóły podsumowania wybierz pozycję Zalecenia.

Zrzut ekranu przedstawiający przykład wybierania zaleceń dotyczących alertu

Karta Zalecenia zawiera akcje następnego kroku i porady dotyczące badania, korygowania i zapobiegania. Oto przykład.

Zrzut ekranu przedstawiający przykład zaleceń dotyczących alertów

Dostrajanie alertu

Jako analityk centrum operacji zabezpieczeń (SOC) jednym z najważniejszych problemów jest klasyfikacja ogromnej liczby alertów wyzwalanych codziennie. Czas analityka jest cenny i chce skupić się tylko na alertach o wysokiej ważności i wysokim priorytecie. W międzyczasie analitycy są również zobowiązani do klasyfikowania i rozwiązywania alertów o niższym priorytecie, co zwykle jest procesem ręcznym.

Dostrajanie alertów zapewnia możliwość wcześniejszego dostrajania alertów i zarządzania nimi. Usprawnia to kolejkę alertów i pozwala zaoszczędzić czas klasyfikacji, ukrywając lub usuwając alerty automatycznie, za każdym razem, gdy wystąpi pewne oczekiwane zachowanie organizacji i zostaną spełnione warunki reguły.

Warunki reguły można tworzyć na podstawie "typów dowodów", takich jak pliki, procesy, zaplanowane zadania i wiele innych typów dowodów, które wyzwalają alert. Po utworzeniu reguły można zastosować regułę dla wybranego alertu lub dowolnego typu alertu spełniającego warunki reguły w celu dostrojenia alertu.

Ponadto ta funkcja obejmuje również alerty pochodzące z różnych Microsoft Defender XDR źródeł usług. Funkcja dostrajania alertów w publicznej wersji zapoznawczej otrzymuje alerty z obciążeń, takich jak Defender for Endpoint, Ochrona usługi Office 365 w usłudze Defender, Defender for Identity, Defender for Cloud Apps, Ochrona tożsamości Microsoft Entra (Microsoft Entra adres IP) i inne, jeśli te źródła są dostępne na platformie i w planie. Wcześniej funkcja dostrajania alertów przechwyciła tylko alerty z obciążenia Defender for Endpoint.

Uwaga

Zalecamy używanie dostrajania alertów, znanego wcześniej jako pomijanie alertów, z zachowaniem ostrożności. W niektórych sytuacjach znana wewnętrzna aplikacja biznesowa lub testy zabezpieczeń wyzwalają oczekiwane działanie i nie chcesz widzieć tych alertów. Można więc utworzyć regułę w celu dostrojenia tych typów alertów.

Tworzenie warunków reguły w celu dostrajania alertów

Istnieją dwa sposoby dostosowywania alertu w Microsoft Defender XDR. Aby dostroić alert ze strony Ustawienia :

  1. Przejdź do pozycji Ustawienia. W okienku po lewej stronie przejdź do pozycji Reguły i wybierz pozycję Dostrajanie alertów.

    Zrzut ekranu przedstawiający opcję dostrajania alertów na stronie Ustawienia Microsoft Defender XDR.

    Wybierz pozycję Dodaj nową regułę , aby dostroić nowy alert. Możesz również edytować istniejącą regułę w tym widoku, wybierając regułę z listy.

    Zrzut ekranu przedstawiający dodawanie nowych reguł na stronie dostrajania alertów.

  2. W okienku Alert dostrajania możesz wybrać źródła usług, w których reguła ma zastosowanie w menu rozwijanym w obszarze Źródła usług.

    Zrzut ekranu przedstawiający menu rozwijane źródła usługi na stronie dostrajania alertu.

    Uwaga

    Wyświetlane są tylko usługi, do których użytkownik ma uprawnienia.

  3. Dodaj wskaźniki naruszenia zabezpieczeń (IOCs), które wyzwalają alert w sekcji IOCs . Możesz dodać warunek zatrzymania alertu po wyzwoleniu przez określony mkol lub dowolny mkol dodany do alertu.

    IOCs to wskaźniki, takie jak pliki, procesy, zaplanowane zadania i inne typy dowodów, które wyzwalają alert.

    Zrzut ekranu przedstawiający menu MKOl na stronie Dostrajanie alertu.

    Aby ustawić wiele warunków reguły, użyj opcji AND, OR i grupowania, aby utworzyć relację między tymi wieloma "typami dowodów", które powodują alert.

    1. Na przykład wybierz wyzwalający dowód Rola jednostki: Wyzwalacz, równa się i dowolny, aby zatrzymać alert po wyzwoleniu przez dowolny MKOl dodany w alercie. Wszystkie właściwości tego "dowodu" zostaną automatycznie wypełnione jako nowa podgrupa w odpowiednich polach poniżej.

    Uwaga

    Wartości warunków nie uwzględniają wielkości liter.

    1. Możesz edytować i/lub usuwać właściwości tych "dowodów" w zależności od wymagań (przy użyciu symboli wieloznacznych, jeśli są obsługiwane).

    2. Inne niż pliki i procesy, skrypt interfejsu skanowania oprogramowania chroniącego przed złośliwym oprogramowaniem (AMSI), zdarzenie Instrumentacja zarządzania windows (WMI) i zaplanowane zadania to niektóre z nowo dodanych typów dowodów, które można wybrać z listy rozwijanej typów dowodów.

    3. Aby dodać kolejny mkol, kliknij przycisk Dodaj filtr.

    Uwaga

    Dodanie co najmniej jednego mkolu do warunku reguły jest wymagane, aby dostroić dowolny typ alertu.

  4. W sekcji Akcja wykonaj odpowiednią akcję ukryj alert lub Rozwiąż alert.

    Wprowadź nazwę, opis i kliknij przycisk Zapisz.

    Uwaga

    Tytuł alertu (nazwa) jest oparty na typie alertu (IoaDefinitionId), który decyduje o tytule alertu. Dwa alerty o tym samym typie alertu mogą zmienić się na inny tytuł alertu.

    Zrzut ekranu przedstawiający menu Akcja na stronie Dostrajanie alertu.

Aby dostroić alert ze strony Alerty :

  1. Wybierz alert na stronie Alerty w obszarze Zdarzenia i alerty. Alternatywnie możesz wybrać alert podczas przeglądania szczegółów zdarzenia na stronie Incydent.

    Alert można dostroić za pośrednictwem okienka alertu dostrajania , które jest automatycznie otwierane po prawej stronie strony szczegółów alertu.

    Zrzut ekranu przedstawiający okienko Dostrajanie alertu na stronie Alert.

  2. Wybierz warunki, w których alert ma zastosowanie w sekcji Typy alertów . Wybierz pozycję Tylko ten typ alertu , aby zastosować regułę dla wybranego alertu.

    Aby jednak zastosować regułę dla dowolnego typu alertu spełniającego warunki reguły, wybierz pozycję Dowolny typ alertu na podstawie warunków MKOl.

    Zrzut ekranu przedstawiający okienko dostrajania alertów z wyróżnioną sekcją Typy alertów.

  3. Wypełnienie sekcji Zakres jest wymagane, jeśli dostrajanie alertu dotyczy usługi Defender dla punktu końcowego. Określ, czy reguła ma zastosowanie do wszystkich urządzeń w organizacji, czy dla określonego urządzenia.

    Uwaga

    Zastosowanie reguły do całej organizacji wymaga uprawnienia roli administracyjnej.

    Zrzut ekranu przedstawiający okienko dostrajania alertów z wyróżnioną sekcją Zakres.

  4. Dodaj warunki w sekcji Warunki , aby zatrzymać alert po wyzwoleniu przez określony mkol lub dowolny mkol dodany do alertu. W tej sekcji możesz wybrać określone urządzenie, wiele urządzeń, grupy urządzeń, całą organizację lub użytkownika.

    Uwaga

    Musisz mieć Administracja uprawnienia, gdy zakres jest ustawiony tylko dla użytkownika. Administracja uprawnienie nie jest wymagane, gdy zakres jest ustawiony dla pozycji Użytkownik razem z grupami Urządzenia i Urządzenia.

    Zrzut ekranu przedstawiający okienko dostrajania alertów z wyróżnioną sekcją Warunki.

  5. Dodaj pozycję IOCs, gdzie reguła ma zastosowanie w sekcji IOCs . Możesz wybrać pozycję Dowolny MKOl , aby zatrzymać alert bez względu na to, jakie "dowody" spowodowały alert.

    Zrzut ekranu przedstawiający okienko dostrajania alertów z wyróżnioną sekcją IOCs.

  6. Alternatywnie możesz wybrać pozycję Automatycznie wypełnij wszystkie powiązane z alertem 7 elementy We /Wy w sekcji IOCs , aby dodać wszystkie typy dowodów związane z alertami i ich właściwości jednocześnie w sekcji Warunki .

    Zrzut ekranu przedstawiający automatyczne wypełnianie wszystkich powiązanych alertów we/wy.

  7. W sekcji Akcja wykonaj odpowiednią akcję ukryj alert lub Rozwiąż alert.

    Wprowadź nazwę, komentarz i kliknij przycisk Zapisz.

    Zrzut ekranu przedstawiający sekcję Akcja w okienku alertów dostrajania.

  8. Zapobiegaj blokowi operacji we/wy w przyszłości:

    Po zapisaniu reguły dostrajania alertów na wyświetlonej stronie Pomyślne utworzenie reguły możesz dodać wybrane operacje We/Wy jako wskaźniki do "listy dozwolonych" i uniemożliwić ich zablokowanie w przyszłości.

    Na liście zostaną wyświetlone wszystkie identyfikatory IOCs związane z alertami.

    Elementy IOCs wybrane w warunkach pomijania zostaną wybrane domyślnie.

    1. Możesz na przykład dodać pliki, które mają być dozwolone w polu Wybieranie dowodów (MKOl), aby zezwolić. Domyślnie wybrany jest plik, który wyzwolił alert.
    2. Wprowadź zakres w polu Wybierz zakres do zastosowania. Domyślnie wybrany jest zakres powiązanego alertu.
    3. Kliknij Zapisz. Teraz plik nie jest zablokowany, ponieważ znajduje się na liście dozwolonych.

  9. Nowa funkcja dostrajania alertów jest domyślnie dostępna.

    Możesz jednak wrócić do poprzedniego środowiska w portalu Microsoft Defender, przechodząc do pozycji Ustawienia > Microsoft Defender XDR > Dostrajanie alertów reguł>, a następnie wyłącz przełącznik Tworzenie nowych reguł dostrajania.

    Uwaga

    Wkrótce będzie dostępne tylko nowe środowisko dostrajania alertów. Nie będzie można wrócić do poprzedniego środowiska.

  10. Edytuj istniejące reguły:

    Zawsze możesz dodawać lub zmieniać warunki reguły oraz zakres nowych lub istniejących reguł w portalu Microsoft Defender, wybierając odpowiednią regułę i klikając pozycję Edytuj regułę.

    Aby edytować istniejące reguły, upewnij się, że włączono przełącznik Nowe reguły dostrajania alertów .

Rozwiązywanie alertu

Po zakończeniu analizowania alertu i jego rozwiązaniu przejdź do okienka Zarządzanie alertami dla alertu lub podobnych alertów i oznacz stan jako Rozwiązany , a następnie zaklasyfikuj go jako wynik prawdziwie dodatni z typem zagrożenia, działaniem informacyjnym, oczekiwanym z typem działania lub wynikiem fałszywie dodatnim.

Klasyfikowanie alertów pomaga Microsoft Defender XDR poprawić jego jakość wykrywania.

Klasyfikowanie alertów przy użyciu usługi Power Automate

Zespoły nowoczesnych operacji zabezpieczeń (SecOps) wymagają automatyzacji, aby efektywnie działać. Aby skupić się na wyszukiwaniu i badaniu rzeczywistych zagrożeń, zespoły SecOps używają usługi Power Automate do klasyfikowania listy alertów i eliminowania tych, które nie są zagrożeniami.

Kryteria rozwiązywania alertów

  • Użytkownik ma włączony komunikat poza biurem
  • Użytkownik nie jest oznaczony jako wysokiego ryzyka

Jeśli obie te wartości są prawdziwe, usługa SecOps oznacza alert jako legalną podróż i rozwiązuje ten problem. Powiadomienie jest publikowane w usłudze Microsoft Teams po rozwiązaniu alertu.

Łączenie usługi Power Automate z Microsoft Defender for Cloud Apps

Aby utworzyć automatyzację, musisz mieć token interfejsu API, zanim będzie można połączyć usługę Power Automate z Microsoft Defender for Cloud Apps.

  1. Otwórz Microsoft Defender i wybierz pozycję Ustawienia>Token interfejsu APIusługi Cloud Apps>, a następnie wybierz pozycję Dodaj token na karcie Tokeny interfejsu API.

  2. Podaj nazwę tokenu, a następnie wybierz pozycję Generuj. Zapisz token, ponieważ będzie on potrzebny później.

Tworzenie zautomatyzowanego przepływu

Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak automatyzacja działa wydajnie, aby utworzyć płynny przepływ pracy i jak połączyć usługę Power Automate z usługą Defender for Cloud Apps.

Następne kroki

W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.