微软后卫ATP
您可以启动病毒扫描,停止执行恶意代码,管理网络资源隔离,获取您的安全建议微软的后卫,并在新的安全警报上触发工作流Microsoft Defender ATP插件for InsightConnect。
要使用Microsoft Defender ATP插件,必须在Azure Active Directory中创建一个应用程序,然后在InsightConnect中配置连接。有关Microsoft Defender ATP插件的功能的更多信息,请参阅扩展库清单。
在Azure Active Directory中创建一个应用程序
- 登录到Azure门户与具有全局管理员角色的用户。
- 点击Azure Active Directory > App Registration > New Registration
- 为你的应用程序命名时,要注意它的用途,并帮助你跟踪它,然后单击登记。
- 现在已经创建了应用程序,必须分配正确的权限,使其能够访问Microsoft Defender ATP。要做到这一点,点击API权限>添加权限。
- 选择API我的组织使用选项卡,然后在“搜索”框中键入WindowsDefenderATP,然后选择WindowsDefenderATP。
请注意WindowsDefenderATP没有出现在原始列表中;您需要在文本框中输入名称,它才会出现。
- 点击应用程序权限并选择执行操作的适当权限,然后单击添加权限。下面的示例显示了所需的权限隔离机器行动。
请注意,所有行动都需要machine.read.all,Alert.ReadWrite.all和Alert.read.All权限。要检查其他操作所需的权限,请参阅Microsoft文档中的操作的权限部分:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/exposed-apis-list。
- 授予管理员同意所选权限。请注意,每次添加权限时,都必须选择授权许可以使新的权限生效。
- 现在您已配置了应用程序,请添加一个应用程序秘密通过点击证书和秘密>新的客户端秘密。
- 输入应用程序秘密描述,指示其目的并单击添加。
- 复制生成的秘密值。在离开此屏幕后,您将无法检索此值。
- 让你的应用程序ID和你的目录ID., 选择概述复制这些值。
在InsightConnect中配置Microsoft Defender ATP连接
现在你已经在Azure Active Directory中创建了你的应用程序,你可以在InsightConnect中配置Microsoft Defender ATP连接来使用插件。
- 在InsightConnect中,打开Microsoft Defender ATP插件的连接配置。您可以在工作流构建会话期间选择Microsoft Defender ATP插件,或者通过选择创建独立的连接来实现这一点插件和工具从左菜单上的“设置”选项卡。在这一点插件和工具页面,选择连接标签并单击添加连接在右上角。
为Microsoft Defender ATP插件配置连接。给连接一个唯一且可识别的名称,选择插件应该运行的协调器,并从列表中选择Microsoft Windows Defender ATP插件。如果插件不可用,则从安装插件选项卡。
配置您的Microsoft Defender ATP凭证。在秘密的关键字段,创建一个凭证并将其粘贴到前面复制的Microsoft Defender ATP Application Secret中。另外,添加应用程序ID和目录ID.你早先复制。
成功!
Microsoft Defender ATP插件已准备好使用。
测试的进展
保存连接,连接测试将尝试对Azure Active Directory Microsoft Defender ATP应用程序进行身份验证。Connection贴图上的蓝色圆圈表示Connection测试正在进行中。
成功
如果没有圆圈,则连接成功,您可以开始使用Microsoft Defender ATP开始向流程进行协调。
失败的
红色圆圈表示连接测试失败。如果出现这种情况,请在再次尝试之前检查连接细节(包括应用程序秘密、应用程序ID和目录ID)。
日志可能包含有用的故障排除信息。首先,点击看法要查看最近的连接测试的列表。
下测试状态选项卡,展开遇到错误以查看其日志的测试的下拉列表。