Tutoriel : Étendre la gouvernance à la correction des points de terminaison

Defender for Cloud Apps fournit des options de gouvernance prédéfinies pour les stratégies, telles que suspendre un utilisateur ou rendre un fichier privé. À l’aide de l’intégration native à Microsoft Power Automate, vous pouvez utiliser un vaste écosystème de connecteurs SaaS (Software as a Service) pour créer des workflows afin d’automatiser les processus, y compris la correction.

Par exemple, lorsque vous détectez une menace potentielle de logiciel malveillant, vous pouvez utiliser des flux de travail pour lancer des actions de remédiation dans Microsoft Defender pour point de terminaison, comme exécuter une analyse antivirus ou isoler un point de terminaison.

Dans ce tutoriel, vous allez apprendre à configurer une action de gouvernance de stratégie pour utiliser un workflow pour exécuter une analyse antivirus sur un point de terminaison où un utilisateur montre des signes de comportement suspect :

Remarque

Ces flux de travail sont uniquement pertinents pour les stratégies qui contiennent l’activité de l’utilisateur. Par exemple, vous ne pouvez pas utiliser ces flux de travail avec des stratégies de découverte ou OAuth.

Si vous n’avez pas de plan Power Automate, inscrivez-vous pour obtenir un compte d’essai gratuit.

Prérequis

  • Vous devez disposer d’un plan Microsoft Power Automate valide
  • Vous devez disposer d’un plan Microsoft Defender pour point de terminaison valide
  • L’environnement Power Automate doit être synchronisé avec Microsoft Entra ID, surveillé par Microsoft Defender for Endpoint et joint à un domaine

Phase 1 : Générer un jeton d’API Defender for Cloud Apps

Remarque

Si vous avez déjà créé un workflow à l’aide d’un connecteur Defender for Cloud Apps, Power Automate réutilise automatiquement le jeton et vous pouvez ignorer cette étape.

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps.

  2. Sous Système, choisissez Jetons d’API.

  3. Sélectionnez +Ajouter un jeton pour générer un nouveau jeton d’API.

  4. Dans la fenêtre contextuelle Générer un nouveau jeton , entrez le nom du jeton (par exemple, « Flow-Token »), puis sélectionnez Générer.

    Capture d’écran de la fenêtre du jeton, montrant l’entrée de nom et le bouton Générer.

  5. Une fois le jeton généré, sélectionnez l’icône de copie à droite du jeton généré, puis sélectionnez Fermer. Vous aurez besoin du jeton ultérieurement.

    Capture d’écran de la fenêtre du jeton, montrant le jeton et le processus de copie.

Phase 2 : Créer un flux pour exécuter une analyse antivirus

Remarque

Si vous avez déjà créé un flux à l’aide d’un connecteur Defender pour point de terminaison, Power Automate réutilise automatiquement le connecteur et vous pouvez ignorer l’étape Connexion .

  1. Accédez au portail Power Automate et sélectionnez Modèles.

    Capture d’écran de la page main Power Automate, montrant la sélection de modèles.

  2. Recherchez Defender for Cloud Apps et sélectionnez Exécuter l’analyse antivirus à l’aide de Windows Defender sur Defender for Cloud Apps alertes.

    Capture d’écran de la page Modèles de Power Automate, affichant les résultats de la recherche.

  3. Dans la liste des applications, sur la ligne dans laquelle Microsoft Defender pour point de terminaison connecteur apparaît, sélectionnez Se connecter.

    Capture d’écran de la page Modèles de Power Automate, montrant le processus de connexion.

Phase 3 : Configurer le flux

Remarque

Si vous avez déjà créé un flux à l’aide d’un connecteur Microsoft Entra, Power Automate réutilise automatiquement le jeton et vous pouvez ignorer cette étape.

  1. Dans la liste des applications, sur la ligne dans laquelle Defender for Cloud Apps apparaît, sélectionnez Créer.

    Capture d’écran de la page des modèles de Power Automate, montrant le bouton Créer Defender for Cloud Apps.

  2. Dans la fenêtre contextuelle Defender for Cloud Apps, entrez le nom de la connexion (par exemple, « jeton Defender for Cloud Apps »), collez le jeton d’API que vous avez copié, puis sélectionnez Créer.

    Capture d’écran de la fenêtre Defender for Cloud Apps, montrant le nom et l’entrée de clé et le bouton Créer.

  3. Dans la liste des applications, sur la ligne dans laquelle HTTP avec Azure AD apparaît, sélectionnez Se connecter.

  4. Dans la fenêtre contextuelle HTTP avec Azure AD , pour les champs URL de ressource de base et URI de ressource Azure AD , entrez https://graph.microsoft.com, puis sélectionnez Se connecter et entrez les informations d’identification d’administrateur que vous souhaitez utiliser avec le connecteur HTTP avec Azure AD.

    Capture d’écran de la fenêtre HTTP avec Azure AD, montrant les champs de ressource et le bouton de connexion.

  5. Cliquez sur Continuer.

    Capture d’écran de la fenêtre Modèles de Power Automate, montrant les actions finalisées et le bouton Continuer.

  6. Une fois que tous les connecteurs sont correctement connectés, dans la page du flux, sous Appliquer à chaque appareil, modifiez éventuellement le commentaire et le type d’analyse, puis sélectionnez Enregistrer.

    Capture d’écran de la page de flux, montrant la section des paramètres d’analyse.

Phase 4 : Configurer une stratégie pour exécuter le flux

  1. Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies.

  2. Dans la liste des stratégies, sur la ligne où la stratégie appropriée apparaît, choisissez les trois points à la fin de la ligne, puis choisissez Modifier la stratégie.

  3. Sous Alertes, sélectionnez Envoyer des alertes à Power Automate, puis sélectionnez Exécuter l’analyse antivirus à l’aide de Windows Defender sur une alerte Defender for Cloud Apps.

    Capture d’écran de la page de stratégie, montrant la section paramètres des alertes.

Désormais, chaque alerte déclenchée pour cette stratégie lance le flux pour exécuter l’analyse antivirus.

Vous pouvez utiliser les étapes de ce tutoriel pour créer un large éventail d’actions basées sur le flux de travail afin d’étendre les fonctionnalités de correction de Defender for Cloud Apps, y compris d’autres actions de Defender for Endpoint. Pour afficher la liste des workflows Defender for Cloud Apps prédéfinis, dans Power Automate, recherchez « Defender for Cloud Apps ».

Voir aussi