自動化安全程序是每個現代安全運營中心 (SOC) 的標準要求。 為了讓 SOC 團隊以最有效率的方式運作,自動化是必須的。 使用 Microsoft Power Automate 幫助你建立自動化工作流程,並在幾分鐘內建立端到端的流程自動化。 Microsoft Power Automate 支援專門為此設計的不同連接器。
利用本文引導你建立由事件觸發的自動化,例如租戶中建立新警示時。 Microsoft Defender API 有官方的 Power Automate 連接器,具備多種功能。
注意事項
欲了解更多關於高級接頭執照前置條件的資訊,請參閱 「高級接頭執照」。
使用範例
以下範例示範如何在租戶發生新警報時建立一個流程。 你將被引導定義哪個事件啟動流程,以及當觸發發生時下一步會採取什麼行動。
到 我的流程>新>Automated-from 空白。
a.
選擇流程名稱,搜尋「Microsoft Defender ATP Triggers」作為觸發器,然後選擇新的警報觸發器。
現在你有一個流量,每當新的警報發生時就會觸發。
你現在只需要選擇下一步。 例如,如果警報嚴重度很高,你可以隔離裝置並寄電子郵件說明。 警報觸發器僅提供警報 ID 與機器 ID。 你可以用連接器來擴充這些實體。
用連接器取得 Alert 實體
選擇 Microsoft Defender ATP 作為新步驟。
選擇 警示 - 取得單一警示 API。
將上一步的 警報 ID 設為 輸入。
若警報嚴重度為高,請隔離該裝置
新增條件作為新步驟。
檢查警報嚴重度是否 等於 高。
如果是,請加上 Microsoft Defender ATP - 隔離機器動作,並附上機器 ID 和註解。
新增一個關於警報與隔離的電子郵件發送步驟。 有多種容易使用的電子郵件連接器,例如 Outlook 或 Gmail。
節省你的流量。
你也可以建立排 程 流程,執行進階狩獵查詢等更多功能!
