Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Defender for Cloud Apps fournit des options de gouvernance prédéfinies pour les stratégies, telles que suspendre un utilisateur ou rendre un fichier privé. À l’aide de l’intégration native à Microsoft Power Automate, vous pouvez utiliser un vaste écosystème de connecteurs SaaS (Software as a Service) pour créer des workflows afin d’automatiser les processus, y compris la correction.
Par exemple, lorsque vous détectez une menace potentielle de logiciel malveillant, vous pouvez utiliser des flux de travail pour lancer des actions de remédiation dans Microsoft Defender pour point de terminaison, comme exécuter une analyse antivirus ou isoler un point de terminaison.
Dans ce tutoriel, vous allez apprendre à configurer une action de gouvernance de stratégie pour utiliser un workflow pour exécuter une analyse antivirus sur un point de terminaison où un utilisateur montre des signes de comportement suspect :
Remarque
Ces flux de travail sont uniquement pertinents pour les stratégies qui contiennent l’activité de l’utilisateur. Par exemple, vous ne pouvez pas utiliser ces flux de travail avec des stratégies de découverte ou OAuth.
Si vous n’avez pas de plan Power Automate, inscrivez-vous pour obtenir un compte d’essai gratuit.
Prérequis
- Vous devez disposer d’un plan Microsoft Power Automate valide
- Vous devez disposer d’un plan Microsoft Defender pour point de terminaison valide
- L’environnement Power Automate doit être synchronisé avec Microsoft Entra ID, surveillé par Microsoft Defender for Endpoint et joint à un domaine
Phase 1 : Générer un jeton d’API Defender for Cloud Apps
Remarque
Si vous avez déjà créé un workflow à l’aide d’un connecteur Defender for Cloud Apps, Power Automate réutilise automatiquement le jeton et vous pouvez ignorer cette étape.
Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Cloud Apps.
Sous Système, choisissez Jetons d’API.
Sélectionnez +Ajouter un jeton pour générer un nouveau jeton d’API.
Dans la fenêtre contextuelle Générer un nouveau jeton , entrez le nom du jeton (par exemple, « Flow-Token »), puis sélectionnez Générer.
Une fois le jeton généré, sélectionnez l’icône de copie à droite du jeton généré, puis sélectionnez Fermer. Vous aurez besoin du jeton ultérieurement.
Phase 2 : Créer un flux pour exécuter une analyse antivirus
Remarque
Si vous avez déjà créé un flux à l’aide d’un connecteur Defender pour point de terminaison, Power Automate réutilise automatiquement le connecteur et vous pouvez ignorer l’étape Connexion .
Accédez au portail Power Automate et sélectionnez Modèles.
Recherchez Defender for Cloud Apps et sélectionnez Exécuter l’analyse antivirus à l’aide de Windows Defender sur Defender for Cloud Apps alertes.
Dans la liste des applications, sur la ligne dans laquelle Microsoft Defender pour point de terminaison connecteur apparaît, sélectionnez Se connecter.
Phase 3 : Configurer le flux
Remarque
Si vous avez déjà créé un flux à l’aide d’un connecteur Microsoft Entra, Power Automate réutilise automatiquement le jeton et vous pouvez ignorer cette étape.
Dans la liste des applications, sur la ligne dans laquelle Defender for Cloud Apps apparaît, sélectionnez Créer.
Dans la fenêtre contextuelle Defender for Cloud Apps, entrez le nom de la connexion (par exemple, « jeton Defender for Cloud Apps »), collez le jeton d’API que vous avez copié, puis sélectionnez Créer.
Dans la liste des applications, sur la ligne dans laquelle HTTP avec Azure AD apparaît, sélectionnez Se connecter.
Dans la fenêtre contextuelle HTTP avec Azure AD , pour les champs URL de ressource de base et URI de ressource Azure AD , entrez
https://graph.microsoft.com, puis sélectionnez Se connecter et entrez les informations d’identification d’administrateur que vous souhaitez utiliser avec le connecteur HTTP avec Azure AD.
Cliquez sur Continuer.
Une fois que tous les connecteurs sont correctement connectés, dans la page du flux, sous Appliquer à chaque appareil, modifiez éventuellement le commentaire et le type d’analyse, puis sélectionnez Enregistrer.
Phase 4 : Configurer une stratégie pour exécuter le flux
Dans le portail Microsoft Defender, sous Applications cloud, accédez à Stratégies ->Gestion des stratégies.
Dans la liste des stratégies, sur la ligne où la stratégie appropriée apparaît, choisissez les trois points à la fin de la ligne, puis choisissez Modifier la stratégie.
Sous Alertes, sélectionnez Envoyer des alertes à Power Automate, puis sélectionnez Exécuter l’analyse antivirus à l’aide de Windows Defender sur une alerte Defender for Cloud Apps.
Désormais, chaque alerte déclenchée pour cette stratégie lance le flux pour exécuter l’analyse antivirus.
Vous pouvez utiliser les étapes de ce tutoriel pour créer un large éventail d’actions basées sur le flux de travail afin d’étendre les fonctionnalités de correction de Defender for Cloud Apps, y compris d’autres actions de Defender for Endpoint. Pour afficher la liste des workflows Defender for Cloud Apps prédéfinis, dans Power Automate, recherchez « Defender for Cloud Apps ».