自动化安全过程是每个新式安全运营中心 (SOC) 的标准要求。 SOC 团队若要以最有效的方式运行,必须实现自动化。 使用Microsoft Power Automate帮助你在几分钟内创建自动化工作流并构建端到端过程自动化。 Microsoft Power Automate支持为此而构建的不同连接器。
使用本文指导创建由事件触发的自动化,例如在租户中创建新警报时。 Microsoft Defender API 具有具有许多功能的官方 Power Automate 连接器。
注意
有关高级连接器许可先决条件的详细信息,请参阅 高级连接器许可。
用法示例
以下示例演示如何创建一个流,每当租户上发生新警报时就会触发该流。 将指导你定义启动流的事件,以及该触发器发生时将采取的下一步操作。
转到 “我的流>”“新建>”“自动”,从空白开始。
a.
选择流的名称,搜索“Microsoft Defender ATP 触发器”作为触发器,然后选择新的警报触发器。
现在,你有了一个每次发生新警报时都会触发的流。
现在只需选择后续步骤。 例如,如果警报的严重性为“高”,则可以隔离设备,并发送有关该设备的电子邮件。 警报触发器仅提供警报 ID 和计算机 ID。 可以使用连接器来扩展这些实体。
使用连接器获取 Alert 实体
为新步骤选择Microsoft Defender ATP。
选择 “警报 - 获取单个警报 API”。
将上一步的 “警报 ID ”设置为 “输入”。
如果警报的严重性为“高”,请隔离设备
将 条件 添加为新步骤。
检查警报严重性是否 等于 “高”。
如果是,请使用计算机 ID 和注释添加Microsoft Defender ATP - 隔离计算机操作。
添加一个新步骤,用于通过电子邮件发送有关警报和隔离。 有多个易于使用的电子邮件连接器,例如 Outlook 或 Gmail。
保存流。
还可以 创建运行高级 搜寻查询等的计划流!
