Samouczek: rozszerzanie ładu na korygowanie punktów końcowych

  • Artykuł

Defender dla Chmury Apps udostępnia wstępnie zdefiniowane opcje ładu dla zasad, takie jak zawieszenie użytkownika lub utworzenie pliku jako prywatnego. Korzystając z natywnej integracji z usługą Microsoft Power Automate, można użyć dużego ekosystemu łączników oprogramowania jako usługi (SaaS), aby tworzyć przepływy pracy w celu automatyzowania procesów, w tym korygowania.

Na przykład podczas wykrywania możliwego zagrożenia złośliwym oprogramowaniem można użyć przepływów pracy, aby uruchomić Ochrona punktu końcowego w usłudze Microsoft Defender akcje korygowania, takie jak uruchamianie skanowania antywirusowego lub izolowanie punktu końcowego.

W tym samouczku dowiesz się, jak skonfigurować akcję ładu zasad, aby używać przepływu pracy do uruchamiania skanowania antywirusowego w punkcie końcowym, w którym użytkownik pokazuje oznaki podejrzanego zachowania:

Uwaga

Te przepływy pracy mają zastosowanie tylko w przypadku zasad, które zawierają aktywność użytkownika. Na przykład nie można używać tych przepływów pracy z zasadami odnajdywania lub uwierzytelniania OAuth.

Jeśli nie masz planu usługi Power Automate, utwórz konto bezpłatnej wersji próbnej.

Wymagania wstępne

  • Musisz mieć prawidłowy plan usługi Microsoft Power Automate
  • Musisz mieć prawidłowy plan Ochrona punktu końcowego w usłudze Microsoft Defender
  • Środowisko usługi Power Automate musi być zsynchronizowane z identyfikatorem Entra firmy Microsoft, monitorowana przez usługę Defender for Endpoint i przyłączona do domeny

Faza 1. Generowanie tokenu interfejsu API usługi Defender dla Chmury Apps

Uwaga

Jeśli wcześniej utworzono przepływ pracy przy użyciu łącznika Defender dla Chmury Apps, usługa Power Automate automatycznie ponownie użyje tokenu i możesz pominąć ten krok.

  1. W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze.

  2. W obszarze System wybierz pozycję Tokeny interfejsu API.

  3. Wybierz pozycję +Dodaj token, aby wygenerować nowy token interfejsu API.

  4. W oknie podręcznym Generuj nowy token wprowadź nazwę tokenu (na przykład "Flow-Token"), a następnie wybierz pozycję Generuj.

    Screenshot of the token window, showing the name entry and generate button.

  5. Po wygenerowaniu tokenu wybierz ikonę kopiowania po prawej stronie wygenerowanego tokenu, a następnie wybierz pozycję Zamknij. Token będzie potrzebny później.

    Screenshot of the token window, showing the token and the copy process.

Faza 2. Tworzenie przepływu w celu uruchomienia skanowania antywirusowego

Uwaga

Jeśli wcześniej utworzono przepływ przy użyciu łącznika usługi Defender for Endpoint, usługa Power Automate automatycznie ponownie używa łącznika i możesz pominąć krok Logowanie .

  1. Przejdź do portalu usługi Power Automate i wybierz pozycję Szablony.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Wyszukaj pozycję aplikacje Defender dla Chmury i wybierz pozycję Uruchom skanowanie antywirusowe przy użyciu usługi Windows Defender w alertach Defender dla Chmury Apps.

    Screenshot of the templates Power Automate page, showing the search results.

  3. Na liście aplikacji w wierszu, w którym zostanie wyświetlony łącznik Ochrona punktu końcowego w usłudze Microsoft Defender, wybierz pozycję Zaloguj.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Faza 3. Konfigurowanie przepływu

Uwaga

Jeśli wcześniej utworzono przepływ przy użyciu łącznika microsoft Entra, usługa Power Automate automatycznie ponownie użyje tokenu i możesz pominąć ten krok.

  1. Na liście aplikacji w wierszu, w którym zostanie wyświetlona Defender dla Chmury Aplikacje, wybierz pozycję Utwórz.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. W oknie podręcznym Defender dla Chmury Apps wprowadź nazwę połączenia (na przykład "Defender dla Chmury Token aplikacji"), wklej skopiowany token interfejsu API, a następnie wybierz pozycję Utwórz.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. Na liście aplikacji w wierszu, w którym jest wyświetlany protokół HTTP z usługą Azure AD, wybierz pozycję Zaloguj.

  4. W oknie podręcznym HTTP z usługą Azure AD w polach Podstawowy adres URL zasobu i identyfikator URI zasobu usługi Azure AD wprowadź ciąg , a następnie wybierz https://graph.microsoft.compozycję Zaloguj się i wprowadź poświadczenia administratora, których chcesz używać z łącznikiem HTTP z usługą Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Wybierz Kontynuuj.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Po pomyślnym nawiązaniu połączenia na stronie przepływu w obszarze Zastosuj do każdego urządzenia opcjonalnie zmodyfikuj komentarz i typ skanowania, a następnie wybierz pozycję Zapisz.

    Screenshot of the flow page, showing the scan setting section.

Faza 4. Konfigurowanie zasad w celu uruchomienia przepływu

  1. W witrynie Microsoft Defender Portal w obszarze Aplikacje w chmurze przejdź do pozycji Zasady —> zarządzanie zasadami.

  2. Na liście zasad w wierszu, w którym są wyświetlane odpowiednie zasady, wybierz trzy kropki na końcu wiersza, a następnie wybierz pozycję Edytuj zasady.

  3. W obszarze Alerty wybierz pozycję Wyślij alerty do usługi Power Automate, a następnie wybierz pozycję Uruchom skanowanie antywirusowe przy użyciu usługi Windows Defender po alercie aplikacji Defender dla Chmury.

    Screenshot of the policy page, showing the alerts settings section.

Teraz każdy alert zgłoszony dla tych zasad zainicjuje przepływ w celu uruchomienia skanowania antywirusowego.

Kroki opisane w tym samouczku umożliwiają utworzenie szerokiej gamy akcji opartych na przepływach pracy w celu rozszerzenia możliwości korygowania aplikacji Defender dla Chmury, w tym innych akcji usługi Defender for Endpoint. Aby wyświetlić listę wstępnie zdefiniowanych przepływów pracy usługi Defender dla Chmury Apps, w usłudze Power Automate wyszukaj frazę "Defender dla Chmury Apps".

Zobacz też

Integracja z usługą Power Automate na potrzeby niestandardowej automatyzacji alertów