Tutorial: Governance auf die Endpunkt-Problembehebung ausweiten

Defender for Cloud Apps stellt vordefinierte Governanceoptionen für Richtlinien bereit, z. B. einen Benutzer zu sperren oder eine Datei als privat festzulegen. Mithilfe der nativen Integration mit Microsoft Power Automate können Sie ein großes Ökosystem von SaaS-Connectors (Software-as-a-Service) verwenden, um Workflows zu erstellen, um Prozesse einschließlich Wartung zu automatisieren.

Wenn Sie beispielsweise eine mögliche Schadsoftwarebedrohung erkennen, können Sie Workflows verwenden, um Microsoft Defender for Endpoint Wiederherstellungsaktionen wie das Ausführen einer Antivirenüberprüfung oder das Isolieren eines Endpunkts zu starten.

In diesem Tutorial erfahren Sie, wie Sie eine Richtliniengovernanceaktion konfigurieren, um einen Workflow zum Ausführen einer Antivirenüberprüfung auf einem Endpunkt zu verwenden, bei dem ein Benutzer Anzeichen für verdächtiges Verhalten zeigt:

Hinweis

Diese Workflows sind nur für Richtlinien relevant, die Benutzeraktivitäten enthalten. Sie können diese Workflows beispielsweise nicht mit Ermittlungs- oder OAuth-Richtlinien verwenden.

Wenn Sie keinen Power Automate-Plan haben, registrieren Sie sich für ein kostenloses Testkonto.

Voraussetzungen

  • Sie benötigen einen gültigen Microsoft Power Automate-Plan.
  • Sie benötigen einen gültigen Microsoft Defender for Endpoint Plan.
  • Die Power Automate-Umgebung muss mit Microsoft Entra ID synchronisiert, von Defender for Endpoint überwacht und domänengebunden sein.

Phase 1: Generieren eines Defender for Cloud Apps-API-Tokens

Hinweis

Wenn Sie zuvor einen Workflow mit einem Defender for Cloud Apps-Connector erstellt haben, verwendet Power Automate das Token automatisch wieder, und Sie können diesen Schritt überspringen.

  1. Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.

  2. Wählen Sie unter Systemdie Option API-Token aus.

  3. Wählen Sie +Token hinzufügen aus, um ein neues API-Token zu generieren.

  4. Geben Sie im Popupfenster Neues Token generieren den Tokennamen ein (z. B. "Flow-Token"), und wählen Sie dann Generieren aus.

    Screenshot des Tokenfensters mit dem Namenseintrag und der Schaltfläche

  5. Nachdem das Token generiert wurde, wählen Sie das Kopiersymbol rechts neben dem generierten Token und dann Schließen aus. Sie benötigen das Token später.

    Screenshot des Tokenfensters mit dem Token und dem Kopiervorgang.

Phase 2: Erstellen eines Flows zum Ausführen einer Antivirenüberprüfung

Hinweis

Wenn Sie zuvor einen Flow mit einem Defender für Endpunkt-Connector erstellt haben, verwendet Power Automate den Connector automatisch wieder, und Sie können den Schritt Anmelden überspringen.

  1. Wechseln Sie zum Power Automate-Portal , und wählen Sie Vorlagen aus.

    Screenshot der Power Automate-Hauptseite mit der Auswahl von Vorlagen.

  2. Suchen Sie nach Defender for Cloud Apps und wählen Sie Antivirenscan mit Windows Defender für Defender for Cloud Apps-Warnmeldungen ausführen aus.

    Screenshot der Power Automate-Seite

  3. Wählen Sie in der Liste der Apps in der Zeile, in der Microsoft Defender for Endpoint Connector angezeigt wird, die Option Anmelden aus.

    Screenshot der Power Automate-Seite „Vorlagen“, auf der der Anmeldevorgang zu sehen ist.

Phase 3: Flow konfigurieren

Hinweis

Wenn Sie zuvor einen Flow mit einem Microsoft Entra Connector erstellt haben, verwendet Power Automate das Token automatisch wieder, und Sie können diesen Schritt überspringen.

  1. Wählen Sie in der Liste der Apps in der Zeile, in der Defender for Cloud Apps angezeigt wird, erstellen aus.

    Screenshot der Power Automate-Seite

  2. Geben Sie im Popupfenster Defender for Cloud Apps den Verbindungsnamen ein (z. B. "Defender for Cloud Apps Token"), fügen Sie das kopierte API-Token ein, und wählen Sie dann Erstellen aus.

    Screenshot des fensters

  3. Wählen Sie in der Liste der Apps in der Zeile, in der HTTP mit Azure AD angezeigt wird, die Option Anmelden aus.

  4. Geben Sie im Pop-up HTTP mit Azure AD sowohl in das Feld Basisressourcen-URL als auch in das Feld Azure AD-Ressourcen-URIhttps://graph.microsoft.com ein, und wählen Sie dann Anmelden aus und geben Sie die Administratoranmeldeinformationen ein, die Sie mit dem HTTP mit Azure AD-Connector verwenden möchten.

    Screenshot des Fensters

  5. Wählen Sie Weiter.

    Screenshot des Power Automate-Fensters für Vorlagen mit den abgeschlossenen Aktionen und der Schaltfläche

  6. Nachdem alle Connectoren erfolgreich verbunden sind, ändern Sie auf der Flow-Seite unter Auf jedes Gerät anwenden optional den Kommentar und den Scantyp und wählen Sie dann Speichern aus.

    Screenshot der Flowseite mit dem Abschnitt

Phase 4: Konfigurieren Sie eine Richtlinie zum Ausführen des Flows

  1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung.

  2. Wählen Sie in der Liste der Richtlinien in der Zeile, in der die relevante Richtlinie angezeigt wird, die drei Punkte am Ende der Zeile und dann Richtlinie bearbeiten aus.

  3. Wählen Sie unter Warnungendie Option Warnungen an Power Automate senden aus, und wählen Sie dann Antivirusscan mit Windows Defender bei einer Defender for Cloud Apps Warnung ausführen aus.

    Screenshot der Seite

Jetzt wird bei jeder Warnung, die für diese Richtlinie ausgelöst wird, der Ablauf zum Ausführen der Antivirenüberprüfung initiiert.

Sie können die Schritte in diesem Tutorial verwenden, um eine Vielzahl von workflowbasierten Aktionen zu erstellen, um Defender for Cloud Apps Wartungsfunktionen zu erweitern, einschließlich anderer Defender für Endpunkt-Aktionen. Um eine Liste vordefinierter Defender for Cloud Apps Workflows anzuzeigen, suchen Sie in Power Automate nach "Defender for Cloud Apps".

Siehe auch