Tutorial: Alargar a governação à remediação do ponto final

Nota

  • Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.

O Defender for Cloud Apps fornece opções de governação predefinidas para políticas, tais como suspender um utilizador ou tornar um ficheiro privado. Utilizando a integração nativa com o Microsoft Power Automamate, pode utilizar um grande ecossistema de software como conectores de serviço (SaaS) para construir fluxos de trabalho para automatizar processos, incluindo remediação.

Por exemplo, ao detetar uma possível ameaça de malware, pode utilizar fluxos de trabalho para iniciar ações de remediação Microsoft Defender para Endpoint, como executar uma varredura antivírus ou isolar um ponto final.

Neste tutorial, você aprenderá a configurar uma ação de governação política para usar um fluxo de trabalho para executar um exame antivírus em um ponto final onde um utilizador mostra sinais de comportamento suspeito:

Nota

Estes fluxos de trabalho só são relevantes para políticas que contenham a atividade do utilizador. Por exemplo, não pode utilizar estes fluxos de trabalho com as políticas Discovery ou OAuth.

Se não tiver um plano power-automamate, inscreva-se para uma conta de teste gratuita.

Pré-requisitos

  • Deve ter um plano de automatização de energia válido da Microsoft
  • Deve ter um plano de Microsoft Defender para Endpoint válido.
  • O ambiente Power Automamate deve ser Azure AD sincronizado, Defender para Endpoint monitorizado e união de domínios

Fase 1: Gerar um Conjunto de API de Apps cloud

Nota

Se criou previamente um fluxo de trabalho utilizando um conector Defender para Aplicações cloud, o Power Automamate reutiliza automaticamente o token e pode saltar este passo.

  1. No Defender para Apps cloud, na barra de menu, selecione o ícone de definições de engrenagem. e selecione extensões de segurança.

  2. Na página de extensões de Segurança , selecione o botão mais para gerar um novo token API.

  3. No novo pop-up de token , introduza o nome token (por exemplo, "Flow-Token"), e, em seguida, selecione Gerar.

    Screenshot da janela do símbolo, mostrando a entrada do nome e gerar botão.

  4. Uma vez gerado o token, selecione o ícone de cópia à direita do token gerado e, em seguida, selecione Fechar. Vai precisar da ficha mais tarde.

    Screenshot da janela simbólica, mostrando o token e o processo de cópia.

Fase 2: Criar um fluxo para executar uma varredura antivírus

Nota

Se tiver criado previamente um fluxo utilizando um conector Defender para Ponto Final, o Power Automamate reutiliza automaticamente o conector e pode saltar o Sinal de passo.

  1. Vá ao portal Power Automamate e selecione Modelos.

    Screenshot da página principal do Power Automamate, mostrando a seleção de modelos.

  2. Procure por Defender para Apps cloud e selecione executar a verificação antivírus utilizando Windows Defender no Defender para alertas de Aplicações cloud.

    Screenshot da página Power Automamate dos modelos, mostrando os resultados da pesquisa.

  3. Na lista de aplicações, na linha em que aparece Microsoft Defender para Endpoint conector, selecione Iniciar sôs-te.

    Screenshot da página Power Automamate dos modelos, mostrando o processo de inscrição.

Fase 3: Configurar o fluxo

Nota

Se tiver criado previamente um fluxo utilizando um conector Azure AD, o Power Automamate reutiliza automaticamente o token e pode saltar este passo.

  1. Na lista de aplicações, na linha em que aparece o Defender para aplicações cloud , selecione Criar.

    Screenshot da página Power Automamate dos modelos, mostrando o botão Defender for Cloud Apps.

  2. No pop-up do Defender for Cloud Apps , insira o nome de ligação (por exemplo, "Defender para Apps Cloud Token"), cole o token API que copiou e, em seguida, selecione Criar.

    Screenshot da janela Defender for Cloud Apps, mostrando o nome e a entrada da chave e criar botão.

  3. Na lista de aplicações, na linha em que http com Azure AD aparece, selecione Iniciar sômposições.

  4. No HTTP com Azure AD pop-up, tanto para os campos BASE DE RECURSOS URL como Azure AD recursos URI, insira https://graph.microsoft.com, e, em seguida, selecione Iniciar sôs e introduza as credenciais de administração que pretende utilizar com o conector HTTP com Azure AD conector.

    Screenshot do HTTP com Azure AD janela, mostrando os campos de recursos e o botão de iniciar sposição.

  5. Selecione Continuar.

    Screenshot da janela Power Automamate dos modelos, mostrando as ações completas e continue o botão.

  6. Uma vez que todos os conectores estejam ligados com sucesso, na página do fluxo sob Aplicação a cada dispositivo, modificar opcionalmente o tipo de comentário e digitalização e, em seguida, selecionar Guardar.

    Screenshot da página de fluxo, mostrando a secção de definição de digitalização.

Fase 4: Configurar uma política para executar o fluxo

  1. No Defender para Apps cloud, selecione Control e, em seguida, selecione Políticas.

  2. Na lista de políticas, na linha onde aparece a política relevante, escolha os três pontos no final da linha e, em seguida, escolha a política de Edição.

  3. Em Alertas, selecione Enviar alertas para o Flow e, em seguida, selecione Executar a verificação antivírus utilizando Windows Defender num alerta do Defender para aplicações na nuvem.

    Screenshot da página de política, mostrando a secção de definições de alerta.

Agora, todos os alertas levantados para esta política iniciarão o fluxo para executar a varredura antivírus.

Pode utilizar os passos neste tutorial para criar uma vasta gama de ações baseadas em fluxos de trabalho para alargar as capacidades de remediação do Defender for Cloud Apps, incluindo outras ações do Defender para Endpoint. Para ver uma lista de fluxos de trabalho pré-definidos do Defender para aplicações em nuvem, em Power Automamate, procure por "Defender para Apps cloud".

Ver também