Использование соединителя Power Automate для настройки потока для событий

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Автоматизация процедур безопасности — это стандартное требование для каждого современного центра управления безопасностью (SOC). Чтобы команды SOC работали наиболее эффективно, автоматизация является обязательным. Используйте Microsoft Power Automate для создания автоматизированных рабочих процессов и создания комплексной автоматизации процедур в течение нескольких минут. Microsoft Power Automate поддерживает различные соединители, созданные именно для этого.

Эта статья поможет вам создать автоматизацию, которая активируется событием, например при создании нового оповещения в клиенте. Microsoft Defender API имеет официальный соединитель Power Automate с множеством возможностей.

Страница

Примечание.

Дополнительные сведения о предварительных требованиях к лицензированию соединителей уровня "Премиум" см. в разделе Лицензирование соединителей уровня "Премиум".

Пример использования

В следующем примере показано, как создать поток, который активируется каждый раз, когда в клиенте появляется новое оповещение. Вам будет показано, как определить, какое событие запускает поток и какое следующее действие будет предпринят при возникновении этого триггера.

  1. Войдите в Microsoft Power Automate.

  2. Перейдите в раздел Мои потоки>Создать>автоматический из пустого.

    Панель Новый поток в меню Мои потоки на портале Microsoft Defender 365

  3. Выберите имя потока, найдите "триггеры Microsoft Defender ATP" в качестве триггера, а затем выберите новый триггер Оповещений.

    Раздел Выбор триггера потока на портале Microsoft Defender 365

Теперь у вас есть поток, который активируется при каждом появлении нового оповещения.

Описание триггера

Все, что вам нужно сделать сейчас, это выбрать следующие шаги. Например, можно изолировать устройство, если уровень серьезности оповещения является высоким, и отправить сообщение электронной почты об этом. Триггер оповещения предоставляет только идентификатор оповещения и идентификатор компьютера. Для расширения этих сущностей можно использовать соединитель.

Получение сущности Alert с помощью соединителя

  1. Выберите Microsoft Defender ATP для нового шага.

  2. Выберите Оповещения — получение API единого оповещения.

  3. Задайте для идентификатора оповещения на последнем шаге значение Входные данные.

    Панель

Изолируйте устройство, если уровень серьезности оповещения высокий

  1. Добавьте условие в качестве нового шага.

  2. Проверьте, равен ли уровень серьезности оповещений высокому .

    Если да, добавьте действие Microsoft Defender ATP — Изоляция компьютера с идентификатором компьютера и комментарием.

    Область

  3. Добавьте новый шаг для отправки сообщений электронной почты об оповещении и изоляции. Существует несколько соединителей электронной почты, которые просты в использовании, например Outlook или Gmail.

  4. Сохраните поток.

Вы также можете создать запланированный поток, который выполняет запросы Advanced Hunting и многое другое.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.