Использование соединителя Power Automate для настройки потока для событий
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Автоматизация процедур безопасности — это стандартное требование для каждого современного центра управления безопасностью (SOC). Чтобы команды SOC работали наиболее эффективно, автоматизация является обязательным. Используйте Microsoft Power Automate для создания автоматизированных рабочих процессов и создания комплексной автоматизации процедур в течение нескольких минут. Microsoft Power Automate поддерживает различные соединители, созданные именно для этого.
Эта статья поможет вам создать автоматизацию, которая активируется событием, например при создании нового оповещения в клиенте. Microsoft Defender API имеет официальный соединитель Power Automate с множеством возможностей.
Примечание.
Дополнительные сведения о предварительных требованиях к лицензированию соединителей уровня "Премиум" см. в разделе Лицензирование соединителей уровня "Премиум".
Пример использования
В следующем примере показано, как создать поток, который активируется каждый раз, когда в клиенте появляется новое оповещение. Вам будет показано, как определить, какое событие запускает поток и какое следующее действие будет предпринят при возникновении этого триггера.
Войдите в Microsoft Power Automate.
Перейдите в раздел Мои потоки>Создать>автоматический из пустого.
Выберите имя потока, найдите "триггеры Microsoft Defender ATP" в качестве триггера, а затем выберите новый триггер Оповещений.
Теперь у вас есть поток, который активируется при каждом появлении нового оповещения.
Все, что вам нужно сделать сейчас, это выбрать следующие шаги. Например, можно изолировать устройство, если уровень серьезности оповещения является высоким, и отправить сообщение электронной почты об этом. Триггер оповещения предоставляет только идентификатор оповещения и идентификатор компьютера. Для расширения этих сущностей можно использовать соединитель.
Получение сущности Alert с помощью соединителя
Выберите Microsoft Defender ATP для нового шага.
Выберите Оповещения — получение API единого оповещения.
Задайте для идентификатора оповещения на последнем шаге значение Входные данные.
Изолируйте устройство, если уровень серьезности оповещения высокий
Добавьте условие в качестве нового шага.
Проверьте, равен ли уровень серьезности оповещений высокому .
Если да, добавьте действие Microsoft Defender ATP — Изоляция компьютера с идентификатором компьютера и комментарием.
Добавьте новый шаг для отправки сообщений электронной почты об оповещении и изоляции. Существует несколько соединителей электронной почты, которые просты в использовании, например Outlook или Gmail.
Сохраните поток.
Вы также можете создать запланированный поток, который выполняет запросы Advanced Hunting и многое другое.
Еще по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по