Skapa en meddelanderegel när ett lokalt onboarding- eller offboarding-skript används

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Skapa en meddelanderegel så att du får ett meddelande när du använder ett lokalt onboarding- eller offboarding-skript.

Innan du börjar

Du måste ha åtkomst till:

  • Power Automate (minst per användare). Mer information finns på sidan Power Automate priser.
  • Azure-tabell SharePoint Lista eller Bibliotek/SQL DB.

Skapa meddelandeflödet

  1. I flow.microsoft.com.

  2. Gå till Mina flöden > Ny > – från tomt.

    Bild av flöde.

  3. Skapa ett schemalagt flöde.

    1. Ange ett flödesnamn.
    2. Ange starttid och tid.
    3. Ange frekvens. Till exempel var femte minut.

    Bild av meddelandeflödet.

  4. Välj knappen + för att lägga till en ny åtgärd. Den nya åtgärden kommer att vara en HTTP-begäran till Defender för slutpunktens säkerhetscenter-enheters API. Du kan också ersätta den med den inmatade "WDATP Connector" (åtgärd: "Datorer - hämta lista över datorer").

    Bild av återkommande och lägg till åtgärd.

  5. Ange följande HTTP-fält:

    • Metod: "GET" som ett värde för att få listan över enheter.
    • URI: Ange https://api.securitycenter.microsoft.com/api/machines .
    • Autentisering: Välj "Active Directory OAuth".
    • Klientorganisation: Logga in på https://portal.azure.com och navigera till Azure Active Directory > appregistreringar och få värdet för klientorganisations-ID.
    • Målgrupp: https://securitycenter.onmicrosoft.com/windowsatpservice\
    • Klient-ID: Logga in på https://portal.azure.com och navigera Azure Active Directory > appregistreringar och få klient-ID-värdet.
    • Typ av autentiseringsuppgifter: Välj "Hemligt".
    • Hemligt: Logga in på https://portal.azure.com och navigera till Azure Active Directory > appregistreringar och få värdet för klientorganisations-ID.

    Bild av HTTP-villkoren.

  6. Lägg till ett nytt steg genom att välja Lägg till ny åtgärd och sedan söka efter Dataåtgärder och välja Parse JSON.

    Bild av dataåtgärder.

  7. Lägg till brödtext i fältet Innehåll.

    Bild på parse JSON.

  8. Välj länken Använd exempel på nyttolast för att generera schema.

    Bild på parse json med nyttolast.

  9. Kopiera och klistra in följande JSON-kodstycke:

    {
        "type": "object",
        "properties": {
            "@@odata.context": {
                "type": "string"
            },
            "value": {
                "type": "array",
                "items": {
                    "type": "object",
                    "properties": {
                        "id": {
                            "type": "string"
                        },
                        "computerDnsName": {
                            "type": "string"
                        },
                        "firstSeen": {
                            "type": "string"
                        },
                        "lastSeen": {
                            "type": "string"
                        },
                        "osPlatform": {
                            "type": "string"
                        },
                        "osVersion": {},
                        "lastIpAddress": {
                            "type": "string"
                        },
                        "lastExternalIpAddress": {
                            "type": "string"
                        },
                        "agentVersion": {
                            "type": "string"
                        },
                        "osBuild": {
                            "type": "integer"
                        },
                        "healthStatus": {
                            "type": "string"
                        },
                        "riskScore": {
                            "type": "string"
                        },
                        "exposureScore": {
                            "type": "string"
                        },
                        "aadDeviceId": {},
                        "machineTags": {
                            "type": "array"
                        }
                    },
                    "required": [
                        "id",
                        "computerDnsName",
                        "firstSeen",
                        "lastSeen",
                        "osPlatform",
                        "osVersion",
                        "lastIpAddress",
                        "lastExternalIpAddress",
                        "agentVersion",
                        "osBuild",
                        "healthStatus",
                        "rbacGroupId",
                        "rbacGroupName",
                        "riskScore",
                        "exposureScore",
                        "aadDeviceId",
                        "machineTags"
                    ]
                }
            }
        }
    }
    
    
  10. Extrahera värdena från JSON-samtalet och kontrollera om den registrerade enheten/-enheten redan är registrerad på SharePoint som exempel:

    • Om ja utlöses inget meddelande
    • Om nej registrerar du de nya onboarded-enheten i SharePoint och ett meddelande skickas till Defender för Slutpunktsadministratören

    Bild av varje ansökt.

    Bild av tillämpas på varje med hämta objekt.

  11. Under Villkor lägger du till följande uttryck: "length(body('Get_items')?[' värde'])" och ange att villkoret ska vara lika med 0.

    Bild av hur de olika villkoren tillämpas.  Bild av villkor1.  Bild av villkor2.  Bild av skicka e-post.

Aviseringsmeddelande

Följande bild är ett exempel på en e-postavisering.

Bild av e-postavisering.

Tips

  • Du kan endast filtrera här med hjälp av lastSeen:

    • Var 60:e min:
      • Ta alla enheter som senast har setts de senaste 7 dagarna.
  • För varje enhet:

    • Om egenskapen senast sedd är i ett timintervall på [-7 dagar, -7dag + 60 minuter ] -> avisering om offboarding-möjlighet.
    • Om den första gången visas visas den senaste timmen –> avisering om registrering.

I den här lösningen får du inte dubblettaviseringar: Det finns klientorganisationen som har flera enheter. Att få alla dessa enheter kan vara mycket dyr och kan kräva sidinring.

Du kan dela upp den i två frågor:

  1. För offboarding används bara det här intervallet med OData-$filter och meddelar endast om villkoren uppfylls.
  2. Ta alla enheter som senast sågs under den senaste timmen och kontrollera den första sett egenskapen för dem (om den första sett egenskapen finns på den senaste timmen, måste den senast sedd finnas där också).