Defender for Cloud Apps为策略提供预定义的治理选项,例如暂停用户或将文件设为私有。 使用与 Microsoft Power Automate 的本机集成,可以使用大型软件即服务生态系统 (SaaS) 连接器来构建工作流,以自动完成包括修正在内的流程。
例如,在检测到可能的恶意软件威胁时,可以使用工作流启动Microsoft Defender for Endpoint修正操作,例如运行防病毒扫描或隔离终结点。
本教程介绍如何配置策略治理操作,以使用工作流在用户显示可疑行为迹象的终结点上运行防病毒扫描:
- 1:生成Defender for Cloud Apps API 令牌
- 2: 创建流以运行防病毒扫描
- 3: 配置流
- 4: 配置策略以运行流
注意
这些工作流仅与包含用户活动的策略相关。 例如,不能将这些工作流与发现或 OAuth 策略一起使用。
如果没有 Power Automate 计划, 请注册免费试用版帐户。
先决条件
- 必须具有有效的 Microsoft Power Automate 计划
- 必须具有有效的Microsoft Defender for Endpoint计划
- Power Automate 环境必须Microsoft Entra ID同步、Defender for Endpoint 受监视且已加入域
阶段 1:生成Defender for Cloud Apps API 令牌
注意
如果以前使用 Defender for Cloud Apps 连接器创建了工作流,Power Automate 会自动重用令牌,你可以跳过此步骤。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。
在 “系统”下,选择“ API 令牌”。
选择“ +添加令牌” 以生成新的 API 令牌。
在 “生成新令牌 ”弹出窗口中,输入令牌名称 (例如“流令牌”) ,然后选择“ 生成”。
生成令牌后,选择生成的令牌右侧的复制图标,然后选择“ 关闭”。 稍后需要令牌。
阶段 2:创建流以运行防病毒扫描
注意
如果以前使用 Defender for Endpoint 连接器创建了流,Power Automate 会自动重用该连接器,你可以跳过 “登录” 步骤。
转到 Power Automate 门户 并选择“ 模板”。
搜索Defender for Cloud Apps并选择“使用 Windows Defender 对Defender for Cloud Apps警报运行防病毒扫描”。
在应用列表中,在显示Microsoft Defender for Endpoint连接器的行上,选择“登录”。
阶段 3:配置流
注意
如果以前使用 Microsoft Entra 连接器创建了流,Power Automate 会自动重用令牌,你可以跳过此步骤。
在应用列表中,在显示Defender for Cloud Apps的行上,选择“创建”。
在Defender for Cloud Apps弹出窗口中,输入连接名称 (例如“Defender for Cloud Apps令牌”) ,粘贴复制的 API 令牌,然后选择“创建”。
在应用列表中,在包含 Azure AD 的 HTTP 所在的行上,选择“ 登录”。
在“ 使用 Azure AD 的 HTTP ”弹出窗口中,对于 “基本资源 URL ”和“ Azure AD 资源 URI ”字段,输入
https://graph.microsoft.com,然后选择“ 登录 ”,并输入要与 Azure AD 连接器的 HTTP 一起使用的管理员凭据。
选择 继续。
成功连接所有连接器后,在流的页面上, 在“应用于每个设备”下,选择性地修改批注和扫描类型,然后选择“ 保存”。
阶段 4:配置策略以运行流
在Microsoft Defender门户中的“云应用”下,转到“策略->策略管理”。
在策略列表中,在显示相关策略的行上,选择行末尾的三个点,然后选择 “编辑策略”。
在“警报”下,选择“向 Power Automate 发送警报”,然后选择“在Defender for Cloud Apps警报时使用 Windows Defender 运行防病毒扫描”。
现在,针对此策略引发的每个警报都将启动运行防病毒扫描的流。
可以使用本教程中的步骤创建各种基于工作流的操作,以扩展Defender for Cloud Apps修正功能,包括其他 Defender for Endpoint 操作。 若要查看预定义Defender for Cloud Apps工作流的列表,请在 Power Automate 中搜索“Defender for Cloud Apps”。