Så här använder du Power Automate för att konfigurera en Flow för händelser

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Att automatisera säkerhetsprocedurer är ett standardkrav för alla moderna säkerhetsoperationscenter (SOC). För att SOC-team ska fungera på det mest effektiva sättet är automation ett måste. Använd Microsoft Power Automate hjälper dig att skapa automatiska arbetsflöden och att skapa en end-to-end-procedur automation inom några minuter. I Microsoft Power Automate stöd för olika kopplingar som skapats exakt för det.

I den här artikeln får du hjälp med att skapa automatiseringar som utlöses av en händelse, till exempel när du skapar en ny avisering i klientorganisationen. Microsoft Defender API har en officiell Power Automate Connector med många funktioner.

Bild av autentiseringsuppgifter för redigera1.

Anteckning

Mer information om licenskrav för Premium Connectors finns i Licensiering för premium-anslutningappar.

Användningsexempel

I följande exempel visas hur du skapar en Flow som utlöses varje gång en ny avisering inträffar för din klientorganisation. Du får vägledning om att definiera vilken händelse som startar flödet och vilken nästa åtgärd som ska vidtas när den utlösaren inträffar.

  1. Logga in på Microsoft Power Automate.

  2. Gå till My flows > New > Automated-from blank.

    Bild på redigera autentiseringsuppgifter2.

  3. Välj ett namn för Flow, sök efter "Microsoft Defender ATP-utlösare" som utlösare och välj sedan den nya aviseringsutlösaren.

    Bild av autentiseringsuppgifter för redigera3.

Nu har du en Flow som utlöses varje gång en ny avisering inträffar.

Bild av autentiseringsuppgifter för redigera4.

Allt du behöver göra nu är att välja nästa steg. Du kan till exempel isolera enheten om aviseringens allvarlighetsgrad är Hög och skicka ett e-postmeddelande om den. Aviseringsutlösaren anger endast aviserings-ID och maskin-ID. Du kan använda kopplingen för att expandera dessa enheter.

Hämta aviseringsentitet med hjälp av kopplingen

  1. Välj Microsoft Defender ATP för det nya steget.

  2. Välj Aviseringar – Få API för enkel avisering.

  3. Ställ in aviserings-ID från det sista steget som indata.

    Bild på redigera autentiseringsuppgifter5.

Isolera enheten om aviseringens allvarlighetsgrad är hög

  1. Lägg till villkor som ett nytt steg.

  2. Kontrollera om allvarlighetsgraden för avisering är lika med Hög.

    Om ja lägger du till åtgärden Microsoft Defender ATP - Isolera maskin med maskin-ID och en kommentar.

    Bild av autentiseringsuppgifter för redigera6.

  3. Lägg till ett nytt steg för att skicka e-post om aviseringen och isoleringen. Det finns flera e-postanslutningar som är mycket enkla att använda, till exempel e Outlook och Gmail.

  4. Spara flödet.

Du kan också skapa ett schemalagt flöde som kör Avancerad sökning och mycket mer!