Skapa en meddelanderegel när ett lokalt onboarding- eller offboarding-skript används
Gäller för:
- Microsoft Defender för slutpunktsplan 1
- Microsoft Defender för slutpunktsplan 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
Skapa en meddelanderegel så att du får ett meddelande när du använder ett lokalt onboarding- eller offboarding-skript.
Innan du börjar
Du måste ha åtkomst till:
- Power Automate (minst per användare). Mer information finns på sidan Power Automate priser.
- Azure-tabell SharePoint Lista eller Bibliotek/SQL DB.
Skapa meddelandeflödet
Gå till Mina flöden > Ny > – från tomt.

Skapa ett schemalagt flöde.
- Ange ett flödesnamn.
- Ange starttid och tid.
- Ange frekvens. Till exempel var femte minut.

Välj knappen + för att lägga till en ny åtgärd. Den nya åtgärden kommer att vara en HTTP-begäran till Defender för slutpunktens säkerhetscenter-enheters API. Du kan också ersätta den med den inmatade "WDATP Connector" (åtgärd: "Datorer - hämta lista över datorer").

Ange följande HTTP-fält:
- Metod: "GET" som ett värde för att få listan över enheter.
- URI: Ange
https://api.securitycenter.microsoft.com/api/machines. - Autentisering: Välj "Active Directory OAuth".
- Klientorganisation: Logga in på https://portal.azure.com och navigera till Azure Active Directory > appregistreringar och få värdet för klientorganisations-ID.
- Målgrupp:
https://securitycenter.onmicrosoft.com/windowsatpservice\ - Klient-ID: Logga in på https://portal.azure.com och navigera Azure Active Directory > appregistreringar och få klient-ID-värdet.
- Typ av autentiseringsuppgifter: Välj "Hemligt".
- Hemligt: Logga in på https://portal.azure.com och navigera till Azure Active Directory > appregistreringar och få värdet för klientorganisations-ID.

Lägg till ett nytt steg genom att välja Lägg till ny åtgärd och sedan söka efter Dataåtgärder och välja Parse JSON.

Lägg till brödtext i fältet Innehåll.

Välj länken Använd exempel på nyttolast för att generera schema.

Kopiera och klistra in följande JSON-kodstycke:
{ "type": "object", "properties": { "@@odata.context": { "type": "string" }, "value": { "type": "array", "items": { "type": "object", "properties": { "id": { "type": "string" }, "computerDnsName": { "type": "string" }, "firstSeen": { "type": "string" }, "lastSeen": { "type": "string" }, "osPlatform": { "type": "string" }, "osVersion": {}, "lastIpAddress": { "type": "string" }, "lastExternalIpAddress": { "type": "string" }, "agentVersion": { "type": "string" }, "osBuild": { "type": "integer" }, "healthStatus": { "type": "string" }, "riskScore": { "type": "string" }, "exposureScore": { "type": "string" }, "aadDeviceId": {}, "machineTags": { "type": "array" } }, "required": [ "id", "computerDnsName", "firstSeen", "lastSeen", "osPlatform", "osVersion", "lastIpAddress", "lastExternalIpAddress", "agentVersion", "osBuild", "healthStatus", "rbacGroupId", "rbacGroupName", "riskScore", "exposureScore", "aadDeviceId", "machineTags" ] } } } }Extrahera värdena från JSON-samtalet och kontrollera om den registrerade enheten/-enheten redan är registrerad på SharePoint som exempel:
- Om ja utlöses inget meddelande
- Om nej registrerar du de nya onboarded-enheten i SharePoint och ett meddelande skickas till Defender för Slutpunktsadministratören


Under Villkor lägger du till följande uttryck: "length(body('Get_items')?[' värde'])" och ange att villkoret ska vara lika med 0.

Aviseringsmeddelande
Följande bild är ett exempel på en e-postavisering.

Tips
Du kan endast filtrera här med hjälp av lastSeen:
- Var 60:e min:
- Ta alla enheter som senast har setts de senaste 7 dagarna.
- Var 60:e min:
För varje enhet:
- Om egenskapen senast sedd är i ett timintervall på [-7 dagar, -7dag + 60 minuter ] -> avisering om offboarding-möjlighet.
- Om den första gången visas visas den senaste timmen –> avisering om registrering.
I den här lösningen får du inte dubblettaviseringar: Det finns klientorganisationen som har flera enheter. Att få alla dessa enheter kan vara mycket dyr och kan kräva sidinring.
Du kan dela upp den i två frågor:
- För offboarding används bara det här intervallet med OData-$filter och meddelar endast om villkoren uppfylls.
- Ta alla enheter som senast sågs under den senaste timmen och kontrollera den första sett egenskapen för dem (om den första sett egenskapen finns på den senaste timmen, måste den senast sedd finnas där också).