Tutorial: como estender a governança para a correção de ponto de extremidade

  • Artigo

O Defender para Aplicativos de Nuvem fornece opções predefinidas de governança para políticas, como suspender o usuário ou tornar o arquivo privado durante a definição de políticas. Usando a integração nativa com o Microsoft Power Automate, você pode usar um grande ecossistema de conectores SaaS (software como serviço) para criar fluxos de trabalho para automatizar processos, incluindo correção.

Por exemplo, ao detectar uma possível ameaça de malware, você pode usar fluxos de trabalho para iniciar ações de correção do Microsoft Defender para Ponto de Extremidade, como executar uma verificação antivírus ou isolar um ponto de extremidade.

Neste tutorial, você aprenderá a configurar uma ação de governança de política para usar um fluxo de trabalho para executar uma verificação antivírus em um ponto de extremidade no qual um usuário mostra sinais de comportamento suspeito:

Observação

Esses fluxos de trabalho são relevantes apenas para políticas que contêm a atividade do usuário. Por exemplo, não é possível usar esses fluxos de trabalho com políticas de Descoberta ou OAuth.

Caso ainda não tenha uma conta do Azure, inscreva-se para obter uma avaliação gratuita.

Pré-requisitos

  • É necessário ter um plano válido do Microsoft Power Automate
  • Você deve ter um plano válido do Microsoft Defender para Ponto de Extremidade
  • O ambiente do Power Automate deve ser sincronizado com o Microsoft Entra ID, monitorado pelo Defender para Ponto de Extremidade e conectado ao domínio

Fase 1: Gerar um token de API do Defender para Aplicativos de Nuvem

Observação

Se você já tiver criado um fluxo de trabalho usando um conector do Defender para Aplicativos de Nuvem, o Power Automate reutilizará automaticamente o token, então poderá ignorar essa etapa

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Sistema, escolha Tokens de API.

  3. Selecione +Adicionar token para gerar um novo token de API.

  4. Na janela pop-up Gerar novo token, insira o nome do token (por exemplo, "Flow-Token") e selecione Gerar.

    Screenshot of the token window, showing the name entry and generate button.

  5. Depois que o token for gerado, selecione o ícone de Copiar à direita do token gerado e selecione Fechar. Você usará o token mais tarde.

    Screenshot of the token window, showing the token and the copy process.

Fase 2: criar um fluxo para executar uma verificação antivírus

Observação

Se você já tiver criado um fluxo usando um conector do Defender para Ponto de Extremidade, o Power Automate reutilizará automaticamente o conector, então poderá ignorar a etapa Iniciar sessão.

  1. Entre no Power Automate e selecione Modelos.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Pesquise por Defender para Aplicativos de Nuvem e selecione Executar verificação antivírus usando alertas do Windows Defender no Defender para Aplicativos de Nuvem.

    Screenshot of the templates Power Automate page, showing the search results.

  3. Na lista de aplicativos, na linha em que o conector do Microsoft Defender para Ponto de Extremidade aparece, selecione Entrar.

    Screenshot of the templates Power Automate page, showing the sign-in process.

Fase 3: configurar o fluxo

Observação

Se você já tiver criado um fluxo de trabalho usando um conector do Microsoft Entra, o Power Automate reutilizará automaticamente o token, então poderá ignorar essa etapa.

  1. Na lista de aplicativos, na linha em que Defender para Aplicativos de Nuvem aparece, selecione Criar.

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. No pop-up Defender para Aplicativos de Nuvem, insira o nome da conexão (por exemplo, "Token do Defender para Aplicativos de NuvemToken"), cole o token de API que você copiou e selecione Criar.

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. Na lista de aplicativos, na linha em que HTTP com o Azure AD aparece, selecione Entrar.

  4. Na janela pop-up HTTP com Azure AD, no campo URL de recurso de base e URI de recurso do Azure AD, insira https://graph.microsoft.com e, em seguida, selecione Iniciar sessão e insira as credenciais de administrador que deseja usar com o HTTP com conector Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Selecione Continuar.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. Depois que todos os conectores forem conectados com êxito, na página de fluxo em Aplicar a cada dispositivo, modifique opcionalmente o tipo de comentário e varredura e selecione Salvar.

    Screenshot of the flow page, showing the scan setting section.

Fase 4: configurar uma política para executar o fluxo

  1. No portal do Microsoft Defender, em Aplicativos na nuvem, vá para Políticas ->Gerenciamento de políticas.

  2. Na lista de políticas, na linha em que a política relevante aparece, escolha os três pontos no final da linha e escolha Editar política.

  3. Em Alertas, selecione Enviar alertas para o Power Automate e, em seguida, selecione Executar verificação antivírus usando o Windows Defender em um alerta do Defender para Aplicativos de Nuvem.

    Screenshot of the policy page, showing the alerts settings section.

Agora, cada alerta gerado para essa política iniciará o fluxo para executar a verificação antivírus.

Você pode usar as etapas neste tutorial para criar uma ampla gama de ações baseadas em fluxo de trabalho para estender os recursos de correção do Defender para Aplicativos de Nuvem, incluindo outras ações do Defender for Endpoint. Para ver uma lista de fluxos de trabalho predefinidos do Defender para Aplicativos de Nuvem, em Power Automate, procure "Defender para Aplicativos de Nuvem".

Confira também

Integração com o Power Automate para automação personalizada de alertas