Руководство. Распространение управления на устранение проблем на конечных точках

Defender for Cloud Apps предоставляет стандартные варианты управления для политик, такие как приостановка пользователя или обеспечение частного доступа к файлу. Используя встроенную интеграцию с Microsoft Power Automate, вы можете использовать большую экосистему соединителей SaaS (программное обеспечение как услуга) для создания рабочих процессов для автоматизации процессов, включая исправление.

Например, при обнаружении возможной угрозы вредоносного ПО можно использовать рабочие процессы для запуска действий по исправлению в Microsoft Defender для конечной точки, таких как антивирусное сканирование или изоляция конечного устройства.

В этом руководстве вы узнаете, как настроить действие управления политиками для использования рабочего процесса для запуска антивирусной проверки в конечной точке, где у пользователя отображаются признаки подозрительного поведения:

Примечание.

Эти рабочие процессы относятся только к политикам, содержащим действия пользователей. Например, эти рабочие процессы нельзя использовать с политиками обнаружения или OAuth.

Если у вас нет плана Power Automate, зарегистрируйтесь для получения бесплатной пробной учетной записи.

Предварительные условия

  • У вас должен быть действительный план Microsoft Power Automate.
  • У вас должна быть действующая подписка на Microsoft Defender для конечной точки
  • Среда Power Automate должна быть синхронизирована с Microsoft Entra ID, отслеживаться в Microsoft Defender for Endpoint и быть присоединена к домену.

Этап 1. Создание маркера API Defender for Cloud Apps

Примечание.

Если ранее вы создали рабочий процесс с помощью соединителя Defender for Cloud Apps, Power Automate автоматически повторно использует маркер, и этот шаг можно пропустить.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.

  2. В разделе Система выберите Маркеры API.

  3. Выберите +Добавить маркер , чтобы создать новый маркер API.

  4. Во всплывающем окне Создание нового маркера введите имя маркера (например, Flow-Token), а затем выберите Создать.

    Снимок экрана окна токена, на котором показаны поле ввода имени и кнопка генерации.

  5. После создания маркера щелкните значок копирования справа от созданного маркера, а затем нажмите кнопку Закрыть. Токен понадобится позже.

    Снимок экрана окна токена, на котором показаны токен и процесс его копирования.

Этап 2. Создание потока для запуска антивирусной проверки

Примечание.

Если вы ранее создавали поток с помощью соединителя Defender для конечной точки, Power Automate автоматически повторно использует соединитель и вы можете пропустить шаг Вход .

  1. Перейдите на портал Power Automate и выберите Шаблоны.

    Снимок экрана: страница main Power Automate, показывающая выбор шаблонов.

  2. Найдите Defender for Cloud Apps и выберите Запустить проверку на наличие вирусов с помощью Защитника Windows для оповещений Defender for Cloud Apps.

    Снимок экрана: страница Шаблонов Power Automate с результатами поиска.

  3. В списке приложений в строке, в которой отображается соединитель Microsoft Defender для конечной точки, выберите Войти.

    Снимок экрана: страница Шаблонов Power Automate, показывающая процесс входа.

Этап 3. Настройка потока

Примечание.

Если вы ранее создавали поток с помощью соединителя Microsoft Entra, Power Automate автоматически повторно использует маркер, и этот шаг можно пропустить.

  1. В списке приложений в строке, в которой отображается Defender for Cloud Apps, выберите Создать.

    Снимок экрана страницы шаблонов в Power Automate с кнопкой

  2. Во всплывающем окне Defender for Cloud Apps введите имя подключения (например, Defender for Cloud Apps Token), вставьте скопированный маркер API и нажмите кнопку Создать.

    Снимок экрана: окно Defender for Cloud Apps с именем и записью ключа и кнопкой создания.

  3. В списке приложений в строке, в которой отображается HTTP с Azure AD, выберите Войти.

  4. Во всплывающем окне HTTP с Azure AD в полях URL-адрес базового ресурса и Azure AD URI ресурса введите https://graph.microsoft.com, а затем выберите Войти и введите учетные данные администратора, которые вы хотите использовать с соединителем HTTP с Azure AD.

    Снимок экрана: окно HTTP с Azure AD с полями ресурсов и кнопкой входа.

  5. Нажмите Продолжить.

    Снимок экрана: окно Шаблонов Power Automate, показывающее завершенные действия и кнопку

  6. После успешного подключения всех соединителей на странице потока в разделе Применить к каждому устройству при необходимости измените тип комментария и сканирования, а затем нажмите кнопку Сохранить.

    Снимок экрана: страница потока с разделом параметра сканирования.

Этап 4. Настройка политики для запуска потока

  1. На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками.

  2. В списке политик в строке, в которой отображается соответствующая политика, выберите три точки в конце строки, а затем выберите Изменить политику.

  3. В разделе Оповещения выберите Отправить оповещения в Power Automate, а затем выберите Запустить антивирусную проверку с помощью Защитника Windows при появлении оповещения Defender for Cloud Apps.

    Снимок экрана: страница политики с разделом параметров оповещений.

Теперь каждое оповещение, созданное для этой политики, запустит поток, который выполнит антивирусное сканирование.

Действия, описанные в этом руководстве, позволяют создать широкий спектр действий на основе рабочих процессов, чтобы расширить возможности исправления Defender for Cloud Apps, включая другие действия Defender для конечной точки. Чтобы просмотреть список стандартных рабочих процессов Defender for Cloud Apps, в Power Automate выполните поиск по запросу "Defender for Cloud Apps".

См. также