Использование соединителя Power Automate для настройки потока для событий

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Автоматизация процедур безопасности — это стандартное требование для каждого современного центра управления безопасностью (SOC). Чтобы команды SOC работали наиболее эффективно, автоматизация является обязательным. Используйте Microsoft Power Automate для создания автоматизированных рабочих процессов и создания комплексной автоматизации процедур в течение нескольких минут. Microsoft Power Automate поддерживает различные соединители, созданные именно для этого.

Эта статья поможет вам создать автоматизацию, которая активируется событием, например при создании нового оповещения в клиенте. Microsoft Defender API имеет официальный соединитель Power Automate с множеством возможностей.

Примечание.

Дополнительные сведения о предварительных требованиях к лицензированию соединителей уровня "Премиум" см. в разделе Лицензирование соединителей уровня "Премиум".

Пример использования

В следующем примере показано, как создать поток, который активируется каждый раз, когда в клиенте появляется новое оповещение. Вам будет показано, как определить, какое событие запускает поток и какое следующее действие будет предпринят при возникновении этого триггера.

1. Войдите в Microsoft Power Automate.

2. Перейдите в раздел Мои потоки>Создать>автоматический из пустого.

   

3. Выберите имя потока, найдите "триггеры Microsoft Defender ATP" в качестве триггера, а затем выберите новый триггер Оповещений.

   

Теперь у вас есть поток, который активируется при каждом появлении нового оповещения.

Все, что вам нужно сделать сейчас, это выбрать следующие шаги. Например, можно изолировать устройство, если уровень серьезности оповещения является высоким, и отправить сообщение электронной почты об этом. Триггер оповещения предоставляет только идентификатор оповещения и идентификатор компьютера. Для расширения этих сущностей можно использовать соединитель.

Получение сущности Alert с помощью соединителя

1. Выберите Microsoft Defender ATP для нового шага.

2. Выберите Оповещения — получение API единого оповещения.

3. Задайте для идентификатора оповещения на последнем шаге значение Входные данные.

   

Изолируйте устройство, если уровень серьезности оповещения высокий

1. Добавьте условие в качестве нового шага.

2. Проверьте, равен ли уровень серьезности оповещений высокому .

   Если да, добавьте действие Microsoft Defender ATP — Изоляция компьютера с идентификатором компьютера и комментарием.

   

3. Добавьте новый шаг для отправки сообщений электронной почты об оповещении и изоляции. Существует несколько соединителей электронной почты, которые просты в использовании, например Outlook или Gmail.

4. Сохраните поток.

Вы также можете создать запланированный поток, который выполняет запросы Advanced Hunting и многое другое.

Еще по теме

• API Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.