Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender for Cloud Apps stellt vordefinierte Governanceoptionen für Richtlinien bereit, z. B. einen Benutzer zu sperren oder eine Datei als privat festzulegen. Mithilfe der nativen Integration mit Microsoft Power Automate können Sie ein großes Ökosystem von SaaS-Connectors (Software-as-a-Service) verwenden, um Workflows zu erstellen, um Prozesse einschließlich Wartung zu automatisieren.
Wenn Sie beispielsweise eine mögliche Schadsoftwarebedrohung erkennen, können Sie Workflows verwenden, um Microsoft Defender for Endpoint Wiederherstellungsaktionen wie das Ausführen einer Antivirenüberprüfung oder das Isolieren eines Endpunkts zu starten.
In diesem Tutorial erfahren Sie, wie Sie eine Richtliniengovernanceaktion konfigurieren, um einen Workflow zum Ausführen einer Antivirenüberprüfung auf einem Endpunkt zu verwenden, bei dem ein Benutzer Anzeichen für verdächtiges Verhalten zeigt:
Hinweis
Diese Workflows sind nur für Richtlinien relevant, die Benutzeraktivitäten enthalten. Sie können diese Workflows beispielsweise nicht mit Ermittlungs- oder OAuth-Richtlinien verwenden.
Wenn Sie keinen Power Automate-Plan haben, registrieren Sie sich für ein kostenloses Testkonto.
Voraussetzungen
- Sie benötigen einen gültigen Microsoft Power Automate-Plan.
- Sie benötigen einen gültigen Microsoft Defender for Endpoint Plan.
- Die Power Automate-Umgebung muss mit Microsoft Entra ID synchronisiert, von Defender for Endpoint überwacht und domänengebunden sein.
Phase 1: Generieren eines Defender for Cloud Apps-API-Tokens
Hinweis
Wenn Sie zuvor einen Workflow mit einem Defender for Cloud Apps-Connector erstellt haben, verwendet Power Automate das Token automatisch wieder, und Sie können diesen Schritt überspringen.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus.
Wählen Sie unter Systemdie Option API-Token aus.
Wählen Sie +Token hinzufügen aus, um ein neues API-Token zu generieren.
Geben Sie im Popupfenster Neues Token generieren den Tokennamen ein (z. B. "Flow-Token"), und wählen Sie dann Generieren aus.
Nachdem das Token generiert wurde, wählen Sie das Kopiersymbol rechts neben dem generierten Token und dann Schließen aus. Sie benötigen das Token später.
Phase 2: Erstellen eines Flows zum Ausführen einer Antivirenüberprüfung
Hinweis
Wenn Sie zuvor einen Flow mit einem Defender für Endpunkt-Connector erstellt haben, verwendet Power Automate den Connector automatisch wieder, und Sie können den Schritt Anmelden überspringen.
Wechseln Sie zum Power Automate-Portal , und wählen Sie Vorlagen aus.
Suchen Sie nach Defender for Cloud Apps und wählen Sie Antivirenscan mit Windows Defender für Defender for Cloud Apps-Warnmeldungen ausführen aus.
Wählen Sie in der Liste der Apps in der Zeile, in der Microsoft Defender for Endpoint Connector angezeigt wird, die Option Anmelden aus.
Phase 3: Flow konfigurieren
Hinweis
Wenn Sie zuvor einen Flow mit einem Microsoft Entra Connector erstellt haben, verwendet Power Automate das Token automatisch wieder, und Sie können diesen Schritt überspringen.
Wählen Sie in der Liste der Apps in der Zeile, in der Defender for Cloud Apps angezeigt wird, erstellen aus.
Geben Sie im Popupfenster Defender for Cloud Apps den Verbindungsnamen ein (z. B. "Defender for Cloud Apps Token"), fügen Sie das kopierte API-Token ein, und wählen Sie dann Erstellen aus.
Wählen Sie in der Liste der Apps in der Zeile, in der HTTP mit Azure AD angezeigt wird, die Option Anmelden aus.
Geben Sie im Pop-up HTTP mit Azure AD sowohl in das Feld Basisressourcen-URL als auch in das Feld Azure AD-Ressourcen-URI
https://graph.microsoft.comein, und wählen Sie dann Anmelden aus und geben Sie die Administratoranmeldeinformationen ein, die Sie mit dem HTTP mit Azure AD-Connector verwenden möchten.
Wählen Sie Weiter.
Nachdem alle Connectoren erfolgreich verbunden sind, ändern Sie auf der Flow-Seite unter Auf jedes Gerät anwenden optional den Kommentar und den Scantyp und wählen Sie dann Speichern aus.
Phase 4: Konfigurieren Sie eine Richtlinie zum Ausführen des Flows
Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung.
Wählen Sie in der Liste der Richtlinien in der Zeile, in der die relevante Richtlinie angezeigt wird, die drei Punkte am Ende der Zeile und dann Richtlinie bearbeiten aus.
Wählen Sie unter Warnungendie Option Warnungen an Power Automate senden aus, und wählen Sie dann Antivirusscan mit Windows Defender bei einer Defender for Cloud Apps Warnung ausführen aus.
Jetzt wird bei jeder Warnung, die für diese Richtlinie ausgelöst wird, der Ablauf zum Ausführen der Antivirenüberprüfung initiiert.
Sie können die Schritte in diesem Tutorial verwenden, um eine Vielzahl von workflowbasierten Aktionen zu erstellen, um Defender for Cloud Apps Wartungsfunktionen zu erweitern, einschließlich anderer Defender für Endpunkt-Aktionen. Um eine Liste vordefinierter Defender for Cloud Apps Workflows anzuzeigen, suchen Sie in Power Automate nach "Defender for Cloud Apps".