カスタムアラートオートメーションのために Microsoft Power Automate と統合する

[アーティクル]
02/07/2024

Defender for Cloud Apps と Microsoft Power Automate を統合すると、カスタムアラートの自動化とオーケストレーションのプレイブックが提供されます。 Power Automate で利用できるコネクタを使用すると、Defender for Cloud Apps でアラートが生成されたときのプレイブックのトリガーを自動化できます。たとえば、ServiceNow コネクタを使用してチケットシステムで問題を自動的に作成したり、Defender for Cloud Apps でアラートがトリガーされたときにカスタムガバナンスアクションを実行するための承認メールを自動的に送信したりできます。

前提条件

有効なMicrosoft Power Automate プランが必要です

しくみ

Defender for Cloud Apps 自体には、ポリシーを定義するときにユーザーを停止したり、ファイルを非公開にするなどの定義済みのガバナンスオプションがあります。 Defender for Cloud Apps コネクタを使用して Power Automate でプレイブックを作成すると、ポリシーに対してカスタマイズされたガバナンスオプションを有効にするワークフローを作成できます。 Power Automate にプレイブックが作成されると、Defender for Cloud Apps に自動的に同期されます。その後、それを Defender for Cloud Apps でポリシーと関連付けると、Power Automate にアラートが送信されます。 Microsoft Power Automate は、組織に合わせてカスタマイズされたワークフローを作成するためのいくつかのコネクタと条件を提供します。

Power Automate の Defender for Cloud Apps コネクタでは、自動化されたトリガーとアクションがサポートされています。 Defender for Cloud Apps によってアラートが生成されると、Power Automate が自動的にトリガーされます。アクションには、Defender for Cloud Apps でのアラート状態の変更が含まれます。

Defender for Cloud Apps 用の Power Automate プレイブックを作成する

Defender for Cloud Apps で API トークンを作成します。
Power Automate ポータルに移動し、マイフロー、新しいフロー を選択し、ドロップダウンの 空から独自のフローを構築、自動クラウドフローを選択します。
フローの名前を指定し、[フローのトリガーを選択してください] に「Defender for Cloud Apps」と入力して、[アラートが生成される時] を選択します。
[認証設定] の下に、手順 1 の API トークンを貼り付けます。接続に名前を付け、作成を選択します。
次に、要件に従って Playbook を作成します。 [+ 新しいステップ] を選択して、Defender for Cloud Apps のポリシーによってアラートが生成されたときにトリガーされるワークフローを定義します。アクション、論理条件、スイッチケース条件、またはループを追加して、プレイブックを保存できます。この例では、ServiceNow コネクタを追加します。
プレイブックの構成を続けます。プレイブックは、Defender for Cloud Apps と自動的に同期されます。 Power Automate でのプレイブックの作成の詳細については、「Power Automate でクラウドフローを作成する」を参照してください。
Microsoft Defender ポータルの [クラウドアプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。アラートを Power Automate に転送するポリシーの行で、3 つのドットを選択し、ポリシーの編集 を選択します。
[アラート] で、[Power Automate にアラートを送信] を選択し、ドロップダウンメニューから前に作成したプレイブックの名前を選択します。
自分が作成したか、またはアクセス権が付与されている Defender for Cloud Apps プレイブックは、Microsoft Defender ポータルで、[設定] に移動し、[クラウドアプリ] を選択して、[システム] で [プレイブック] を選択することで表示できます。