Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender for Cloud Apps предоставляет стандартные варианты управления для политик, такие как приостановка пользователя или обеспечение частного доступа к файлу. Используя встроенную интеграцию с Microsoft Power Automate, вы можете использовать большую экосистему соединителей SaaS (программное обеспечение как услуга) для создания рабочих процессов для автоматизации процессов, включая исправление.
Например, при обнаружении возможной угрозы вредоносного ПО можно использовать рабочие процессы для запуска действий по исправлению в Microsoft Defender для конечной точки, таких как антивирусное сканирование или изоляция конечного устройства.
В этом руководстве вы узнаете, как настроить действие управления политиками для использования рабочего процесса для запуска антивирусной проверки в конечной точке, где у пользователя отображаются признаки подозрительного поведения:
Примечание.
Эти рабочие процессы относятся только к политикам, содержащим действия пользователей. Например, эти рабочие процессы нельзя использовать с политиками обнаружения или OAuth.
Если у вас нет плана Power Automate, зарегистрируйтесь для получения бесплатной пробной учетной записи.
Предварительные условия
- У вас должен быть действительный план Microsoft Power Automate.
- У вас должна быть действующая подписка на Microsoft Defender для конечной точки
- Среда Power Automate должна быть синхронизирована с Microsoft Entra ID, отслеживаться в Microsoft Defender for Endpoint и быть присоединена к домену.
Этап 1. Создание маркера API Defender for Cloud Apps
Примечание.
Если ранее вы создали рабочий процесс с помощью соединителя Defender for Cloud Apps, Power Automate автоматически повторно использует маркер, и этот шаг можно пропустить.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения.
В разделе Система выберите Маркеры API.
Выберите +Добавить маркер , чтобы создать новый маркер API.
Во всплывающем окне Создание нового маркера введите имя маркера (например, Flow-Token), а затем выберите Создать.
После создания маркера щелкните значок копирования справа от созданного маркера, а затем нажмите кнопку Закрыть. Токен понадобится позже.
Этап 2. Создание потока для запуска антивирусной проверки
Примечание.
Если вы ранее создавали поток с помощью соединителя Defender для конечной точки, Power Automate автоматически повторно использует соединитель и вы можете пропустить шаг Вход .
Перейдите на портал Power Automate и выберите Шаблоны.
Найдите Defender for Cloud Apps и выберите Запустить проверку на наличие вирусов с помощью Защитника Windows для оповещений Defender for Cloud Apps.
В списке приложений в строке, в которой отображается соединитель Microsoft Defender для конечной точки, выберите Войти.
Этап 3. Настройка потока
Примечание.
Если вы ранее создавали поток с помощью соединителя Microsoft Entra, Power Automate автоматически повторно использует маркер, и этот шаг можно пропустить.
В списке приложений в строке, в которой отображается Defender for Cloud Apps, выберите Создать.
Во всплывающем окне Defender for Cloud Apps введите имя подключения (например, Defender for Cloud Apps Token), вставьте скопированный маркер API и нажмите кнопку Создать.
В списке приложений в строке, в которой отображается HTTP с Azure AD, выберите Войти.
Во всплывающем окне HTTP с Azure AD в полях URL-адрес базового ресурса и Azure AD URI ресурса введите
https://graph.microsoft.com, а затем выберите Войти и введите учетные данные администратора, которые вы хотите использовать с соединителем HTTP с Azure AD.
Нажмите Продолжить.
После успешного подключения всех соединителей на странице потока в разделе Применить к каждому устройству при необходимости измените тип комментария и сканирования, а затем нажмите кнопку Сохранить.
Этап 4. Настройка политики для запуска потока
На портале Microsoft Defender в разделе Облачные приложения выберите Политики ->Управление политиками.
В списке политик в строке, в которой отображается соответствующая политика, выберите три точки в конце строки, а затем выберите Изменить политику.
В разделе Оповещения выберите Отправить оповещения в Power Automate, а затем выберите Запустить антивирусную проверку с помощью Защитника Windows при появлении оповещения Defender for Cloud Apps.
Теперь каждое оповещение, созданное для этой политики, запустит поток, который выполнит антивирусное сканирование.
Действия, описанные в этом руководстве, позволяют создать широкий спектр действий на основе рабочих процессов, чтобы расширить возможности исправления Defender for Cloud Apps, включая другие действия Defender для конечной точки. Чтобы просмотреть список стандартных рабочих процессов Defender for Cloud Apps, в Power Automate выполните поиск по запросу "Defender for Cloud Apps".