Руководство. Расширение системы управления до исправления конечных точек

  • Статья

Defender для облака Приложения предоставляют стандартные параметры управления для политик, например приостановку пользователя или закрытый файл. Используя встроенную интеграцию с Microsoft Power Automate, вы можете использовать большую экосистему соединителей программного обеспечения как услуги (SaaS) для создания рабочих процессов для автоматизации процессов, включая исправление.

Например, при обнаружении возможной угрозы вредоносных программ можно использовать рабочие процессы для запуска Microsoft Defender для конечной точки действий по исправлению, таких как запуск антивирусной проверки или изоляция конечной точки.

В этом руководстве вы узнаете, как настроить действие управления политиками для использования рабочего процесса для запуска антивирусной проверки на конечной точке, где пользователь отображает признаки подозрительного поведения:

Примечание.

Эти рабочие процессы относятся только к политикам, содержащим действия пользователя. Например, эти рабочие процессы нельзя использовать с политиками обнаружения или OAuth.

Если у вас нет плана Power Automate, зарегистрируйтесь для получения бесплатной пробной учетной записи.

Необходимые компоненты

  • У вас должен быть действительный план Microsoft Power Automate
  • У вас должен быть действительный план Microsoft Defender для конечной точки
  • Среда Power Automate должна быть синхронизирована с идентификатором Microsoft Entra, Defender для конечной точки, отслеживаемой и присоединенной к домену

Этап 1. Создание маркера API приложений Defender для облака

Примечание.

Если вы ранее создали рабочий процесс с помощью соединителя Defender для облака Apps, Power Automate автоматически использует маркер и можно пропустить этот шаг.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения".

  2. В разделе "Система" выберите маркеры API.

  3. Нажмите кнопку +Добавить маркер, чтобы создать новый маркер API.

  4. Во всплывающем генерации маркера введите имя маркера (например, "Flow-Token"), а затем нажмите кнопку "Создать".

    Screenshot of the token window, showing the name entry and generate button.

  5. После создания маркера щелкните значок копирования справа от созданного маркера и нажмите кнопку "Закрыть". Вам потребуется маркер позже.

    Screenshot of the token window, showing the token and the copy process.

Этап 2. Создание потока для запуска антивирусной проверки

Примечание.

Если вы ранее создали поток с помощью соединителя Defender для конечной точки, Power Automate автоматически использует соединитель, и вы можете пропустить шаг входа .

  1. Перейдите на портал Power Automate и выберите шаблоны.

    Screenshot of the main Power Automate page, showing the selection of templates.

  2. Найдите Defender для облака приложения и выберите "Запустить антивирусную проверку" с помощью Защитника Windows в оповещениях Defender для облака Приложения.

    Screenshot of the templates Power Automate page, showing the search results.

  3. В списке приложений в строке, в которой отображается соединитель Microsoft Defender для конечной точки, выберите "Войти".

    Screenshot of the templates Power Automate page, showing the sign-in process.

Этап 3. Настройка потока

Примечание.

Если вы ранее создали поток с помощью соединителя Microsoft Entra, Power Automate автоматически использует маркер и можно пропустить этот шаг.

  1. В списке приложений в строке, в которой отображаются Defender для облака приложения, нажмите кнопку "Создать".

    Screenshot of the templates Power Automate page, showing the Defender for Cloud Apps create button.

  2. Во всплывающем ряду приложений Defender для облака введите имя подключения (например, "токен приложений Defender для облака"), вставьте скопированный маркер API и нажмите кнопку "Создать".

    Screenshot of the Defender for Cloud Apps window, showing the name and key entry and create button.

  3. В списке приложений в строке, в которой отображается HTTP с Помощью Azure AD, выберите "Войти".

  4. Во всплывающем параметров HTTP с Azure AD в полях URI базового ресурса и ресурса Azure AD введите https://graph.microsoft.com и введите учетные данные администратора, которые вы хотите использовать с соединителем Azure AD.

    Screenshot of the HTTP with Azure AD window, showing the Resource fields and sign-in button.

  5. Выберите Продолжить.

    Screenshot of the templates Power Automate window, showing the completed actions and continue button.

  6. После успешного подключения всех соединителей на странице потока в разделе "Применить к каждому устройству" при необходимости измените комментарий и тип сканирования, а затем нажмите кнопку "Сохранить".

    Screenshot of the flow page, showing the scan setting section.

Этап 4. Настройка политики для запуска потока

  1. На портале Microsoft Defender в разделе "Облачные приложения" перейдите к политикам управления> политиками.

  2. В списке политик в строке, в которой отображается соответствующая политика, выберите три точки в конце строки и нажмите кнопку "Изменить политику".

  3. В разделе "Оповещения" выберите "Отправить оповещения в Power Automate", а затем выберите "Запустить антивирусную проверку" с помощью Защитника Windows при оповещении Defender для облака приложения.

    Screenshot of the policy page, showing the alerts settings section.

Теперь каждое оповещение, возникное для этой политики, инициирует поток для запуска антивирусной проверки.

Инструкции, описанные в этом руководстве, позволяют создать широкий спектр действий на основе рабочих процессов для расширения возможностей исправления приложений Defender для облака, включая другие действия Defender для конечной точки. Чтобы просмотреть список предопределенных рабочих процессов приложений Defender для облака в Power Automate, найдите "Defender для облака приложения".

См. также

Интеграция с Power Automate для пользовательской автоматизации оповещений