自動化安全程序是每個現代安全運營中心 (SOC) 的標準要求。 為了讓 SOC 團隊以最有效的方式運作,自動化是必須的。 使用 Microsoft Power Automate 協助您建立自動化工作流程,並在幾分鐘內建置端對端程序自動化。 Microsoft Power Automate 支援專為此而建置的不同連接器。
使用本文來引導您建立事件所觸發的自動化,例如在租用戶中建立新警示時。 Microsoft Defender API 具有許多功能的官方 Power Automate 連接器。
![Microsoft Defender 365 入口網站中的 [動作] 頁面](media/api-flow-0.png#lightbox)
注意事項
如需進階連接器授權必要條件的詳細資訊,請參閱 進階連接器的授權。
使用範例
下列範例示範如何建立每當租用戶發生新警示時觸發的流程。 系統會引導您定義啟動流程的事件,以及觸發器發生時將採取的下一步動作。
移至 [我的流程新增>>自動化-從空白]。
![Microsoft Defender 365 入口網站中 [我的流程] 功能表專案底下的 [新增流程] 窗格](media/api-flow-1.png)
選擇流程的名稱,搜尋 「Microsoft Defender ATP 觸發程式」 作為觸發程式,然後選取新的警示觸發程式。
現在,您有一個流程,每次發生新警報時都會觸發該流程。
您現在需要做的就是選擇後續步驟。 例如,如果警示的嚴重性為「高」,您可以隔離裝置,並傳送有關它的電子郵件。 警示觸發程式僅提供警示識別碼和電腦識別碼。 您可以使用連接器來展開這些實體。
![Microsoft Defender 365 入口網站中 [我的流程] 功能表專案底下的 [新增流程] 窗格](media/api-flow-1.png#lightbox)
使用連接器取得警示實體
選擇 Microsoft Defender ATP 作為新步驟。
選擇 [警示 - 取得單一警示 API]。
將上一個步驟的 警示識別碼 設定為 輸入。
如果警示的嚴重性為「高」,請隔離裝置
將 條件新增 為新步驟。
檢查警示嚴重性是否 等 於高。
如果是,請新增 Microsoft Defender ATP - 隔離電腦動作,其中包含電腦識別碼和註解。
新增一個步驟,以透過電子郵件傳送有關警示和隔離的訊息。 有多個易於使用的電子郵件連接器,例如 Outlook 或 Gmail。
儲存您的流程。
您也可以建立 排程 流程來執行進階搜捕查詢等等!
相關主題
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。