Tutoriel : Étendre la gouvernance à la correction des points de terminaisonTutorial: Extend governance to endpoint remediation

Cloud App Security fournit des options de gouvernance prédéfinies pour les stratégies. Il permet notamment de suspendre un utilisateur ou de rendre un fichier privé.Cloud App Security provides predefined governance options for policies, such as suspend a user or make a file private. À l’aide de l’intégration native à Microsoft Power Automate, vous pouvez utiliser un large écosystème de connecteurs SaaS pour générer des workflows en vue d’automatiser les processus, dont la correction.Using the native integration with Microsoft Power Automate, you can use a large ecosystem of software as a service (SaaS) connectors to build workflows to automate processes including remediation.

Par exemple, lors de la détection d’une menace de programme malveillant possible, vous pouvez utiliser des workflows pour lancer des actions correctives Microsoft Defender pour point de terminaison, telles que l’exécution d’une analyse antivirus ou l’isolement d’un point de terminaison.For example, when detecting a possible malware threat, you can use workflows to start Microsoft Defender for Endpoint remediation actions such as running an antivirus scan or isolating an endpoint.

Dans ce tutoriel, vous allez apprendre à configurer une action de gouvernance de stratégie pour utiliser un workflow permettant d’exécuter une analyse antivirus sur un point de terminaison où un utilisateur montre des signes de comportement suspect :In this tutorial, you'll learn how to configure a policy governance action to use a workflow to run an antivirus scan on an endpoint where a user shows signs of suspicious behavior:

Notes

Ces workflows sont pertinents seulement pour les stratégies qui contiennent l’activité de l’utilisateur.These workflows are only relevant for policies that contains user activity. Par exemple, vous ne pouvez pas utiliser ces workflows avec des stratégies de découverte ou OAuth.For example, you can't use these workflows with Discovery or OAuth policies.

Si vous n’avez pas de plan Power Automate, inscrivez-vous pour obtenir un compte d’essai gratuit.If you don't have a Power Automate plan, sign up for a free trial account.

PrérequisPrerequisites

  • Vous devez disposer d’un plan Microsoft Power Automate valide.You must have a valid Microsoft Power Automate plan
  • Vous devez avoir un plan Microsoft Defender pour point de terminaison valide.You must have a valid Microsoft Defender for Endpoint plan
  • L’environnement Power Automate doit être synchronisé avec Azure AD, supervisé par Defender pour point de terminaison et joint au domaine.The Power Automate environment must be Azure AD synced, Defender for Endpoint monitored, and domain-joined

Phase 1 : Générer un jeton d’API Cloud App SecurityPhase 1: Generate a Cloud App Security API token

Notes

Si vous avez déjà créé un workflow en utilisant un connecteur Cloud App Security, Power Automate réutilisera automatiquement le jeton. Vous pouvez donc ignorer cette étape.If you have previously created a workflow using a Cloud App Security connector, Power Automate automatically reuses the token and you can skip this step.

  1. Dans Cloud App Security, dans la barre de menus, cliquez sur la roue dentée des paramètres Icône des paramètres et sélectionnez Extensions de sécurité.In Cloud App Security, in the menu bar, click the settings cog settings icon and select Security extensions.

  2. Dans la page Extensions de sécurité, cliquez sur le bouton plus (+) pour générer un nouveau jeton d’API.On the Security extensions page, click the plus button to generate a new API token.

  3. Dans la fenêtre contextuelle Générer un nouveau jeton, entrez le nom du jeton (par exemple « Flow-Token »), puis cliquez sur Générer.In the Generate new token pop-up, enter the token name (for example, "Flow-Token"), and then click Generate.

    Capture d’écran de la fenêtre de jeton, montrant l’entrée du nom et le bouton Générer.

  4. Une fois le jeton généré, cliquez sur l’icône de copie à droite du jeton généré, puis cliquez sur Fermer.Once the token is generated, click the copy icon to the right of the generated token, and then click Close. Vous aurez besoin du jeton ultérieurement.You'll need the token later.

    Capture d’écran de la fenêtre de jeton, montrant le jeton et le processus de copie.

Phase 2 : Créer un flux pour exécuter une analyse antivirusPhase 2: Create a flow to run an antivirus scan

Notes

Si vous avez déjà créé un flux en utilisant un connecteur Defender pour point de terminaison, Power Automate réutilisera automatiquement le connecteur. Vous pouvez donc ignorer l’étape de connexion.If you have previously created a flow using a Defender for Endpoint connector, Power Automate automatically reuses the connector and you can skip the Sign in step.

  1. Accédez au portail Power Automate, puis sélectionnez Modèles.Go to the Power Automate portal and select Templates.

    Capture d’écran de la page principale de Power Automate, montrant la sélection de modèles.

  2. Recherchez « Cloud App Security » et sélectionnez Exécuter l’analyse antivirus avec Windows Defender sur une alerte Cloud App Security.Search for "Cloud App Security" and select Run antivirus scan using Windows Defender upon a Cloud App Security alert.

    Capture d’écran de la page de modèles de Power Automate, montrant les résultats de la recherche.

  3. Dans la liste des applications, sur la ligne où figure Connecteur Microsoft Defender pour point de terminaison, cliquez sur Se connecter.In the list of apps, on the row in which Microsoft Defender for Endpoint connector appears, click Sign in.

    Capture d’écran de la page de modèles de Power Automate, montrant le processus de connexion.

Phase 3 : Configurer le fluxPhase 3: Configure the flow

Notes

Si vous avez déjà créé un flux en utilisant un connecteur Azure AD, Power Automate réutilisera automatiquement le jeton. Vous pouvez donc ignorer cette étape.If you have previously created a flow using an Azure AD connector, Power Automate automatically reuses the token and you can skip this step.

  1. Dans la liste des applications, sur la ligne où figure Cloud App Security, cliquez sur Créer.In the list of apps, on the row in which Cloud App Security appears, click Create.

    Capture d’écran de la page de modèles de Power Automate, montrant le bouton Créer pour Cloud App Security.

  2. Dans la fenêtre contextuelle Cloud App Security, entrez le nom de la connexion (par exemple « Cloud App Security Token »), collez le jeton d’API que vous avez copié ,puis cliquez sur Créer.In the Cloud App Security pop-up, enter the connection name (for example, "Cloud App Security Token"), paste the API token you copied, and then click Create.

    Capture d’écran de la fenêtre Cloud App Security, montrant l’entrée du nom et de la clé, et le bouton Créer.

  3. Dans la liste des applications, sur la ligne où figure HTTP avec Azure AD, cliquez sur Se connecter.In the list of apps, on the row in which HTTP with Azure AD appears, click Sign in.

  4. Dans la fenêtre contextuelle HTTP avec Azure AD, pour les deux champs URL de ressource de base et URI de la ressource Azure AD, entrez https://graph.microsoft.com, puis cliquez sur Se connecter et entrez les informations d’identification d’administrateur que vous voulez utiliser avec le connecteur HTTP avec Azure AD.In the HTTP with Azure AD pop-up, for both the Base Resource URL and Azure AD Resource URI fields, enter https://graph.microsoft.com, and then click Sign in and enter the admin credentials you want to use with the HTTP with Azure AD connector.

    Capture d’écran de la fenêtre HTTP avec Azure AD, montrant les champs des ressources et le bouton de connexion.

  5. Cliquez sur Continuer.Click Continue.

    Capture d’écran de la fenêtre des modèles Power Automate, montrant les actions effectuées et le bouton Continuer.

  6. Une fois tous les connecteurs connectés, modifiez si vous le souhaitez le commentaire et le type d’analyse sous Appliquer à chaque appareil sur la page du flux, puis cliquez sur Enregistrer.Once all the connecters are successfully connected, on the flow's page under Apply to each device, optionally modify the comment and scan type, and then click Save.

    Capture d’écran de la page du flux, montrant la section des paramètres d’analyse.

Phase 4 : Configurer une stratégie pour exécuter le fluxPhase 4: Configure a policy to run the flow

  1. Dans Cloud App Security, cliquez sur Contrôle, puis sur Stratégies.In Cloud App Security, click Control, and then click Policies.

  2. Dans la liste des stratégies, sur la ligne où la stratégie appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis Modifier la stratégie.In the list of policies, on the row where the relevant policy appears, choose the three dots at the end of the row, and then choose Edit policy.

  3. Sous Alertes, sélectionnez Envoyer des alertes à Flow, puis Exécuter l’analyse antivirus avec Windows Defender sur une alerte Cloud App Security.Under Alerts, select Send alerts to Flow, and then select Run antivirus scan using Windows Defender upon a Cloud App Security alert.

    Capture d’écran de la page de stratégie, montrant la section des paramètres des alertes.

Désormais, toutes les alertes déclenchées pour cette stratégie lancent le flux permettant d’exécuter l’analyse antivirus.Now every alert raised for this policy will initiate the flow to run the antivirus scan.

Vous pouvez utiliser les étapes de ce tutoriel pour créer un large éventail d’actions basées sur les workflows afin d’étendre les fonctions correctives Cloud App Security, notamment d’autres actions Defender pour point de terminaison.You can use the steps in this tutorial to create a wide range of workflow-based actions to extend Cloud App Security remediation capabilities, including other Defender for Endpoint actions. Pour afficher la liste des workflows Cloud App Security prédéfinis, dans Power Automate, recherchez « Cloud App Security ».To see a list of predefined Cloud App Security workflows, in Power Automate, search for "Cloud App Security".

Voir aussiSee also