微软后卫ATP

您可以启动病毒扫描，停止恶意代码的执行，管理网络资源的隔离，在您的系统中获得安全建议微软的后卫，并在新的安全警报上触发工作流用于InsightConnect的Microsoft Defender ATP插件.

要使用Microsoft Defender ATP插件，必须在Azure Active Directory中创建应用程序，然后在InsightConnect中配置连接。有关Microsoft Defender ATP插件功能的更多信息，请参阅扩展库清单.

在Azure Active Directory中创建一个应用程序

1. 登录到Azure门户具有全局管理员角色的用户。
2. 点击Azure Active Directory > App Registration > New Registration

3. 为你的应用程序命名时，要注意它的用途，并帮助你跟踪它，然后单击登记.

4. 现在已经创建了应用程序，必须分配正确的权限，使其能够访问Microsoft Defender ATP。要做到这一点，点击API权限>添加权限.

5. 选择我的组织使用的API选项卡，然后在搜索框中键入WindowsDefenderTap，然后选择WindowsDefenderATP.

请注意WindowsDefenderATP没有出现在原始列表中;您需要在文本框中输入名称，它才会出现。

6. 点击应用程序权限并选择执行操作的相应权限，然后单击添加权限. 下面的示例显示了隔离机行动

请注意，所有行动都需要Machine.Read.All、Alert.ReadWrite.All和Alert.Read.All权限。要检查其他操作所需的权限，请参阅Microsoft文档中操作的权限部分：https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/exposed-apis-list.

7. 授予管理员对所选权限的同意。请注意，每次添加权限时，必须选择授权许可以使新的权限生效。

8. 现在已经配置了应用程序，请添加应用程序机密通过单击来添加它证书和秘密>新的客户端秘密.

9. 输入指示用途的应用程序机密说明，然后单击添加.

10. 复制生成的秘密值。离开此屏幕后，您将无法检索此值。

11. 让你的应用程序ID和你的目录ID选择概述复制这些值。

在InsightConnect中配置Microsoft Defender ATP连接

现在你已经在Azure Active Directory中创建了你的应用程序，你可以在InsightConnect中配置Microsoft Defender ATP连接来使用插件。

1. 在InsightConnect中，打开Microsoft Defender ATP插件的连接配置。您可以在工作流构建会话期间选择Microsoft Defender ATP插件，或者通过选择创建独立的连接来实现这一点插件和工具从左侧菜单上的“设置”选项卡。上插件和工具页面,选择连接选项卡并单击添加连接在右上角。

2. 为Microsoft Defender ATP插件配置连接。给连接一个唯一且可识别的名称，选择插件应该运行的协调器，并从列表中选择Microsoft Windows Defender ATP插件。如果插件不可用，则从已安装的插件选项卡。

3. 配置您的Microsoft Defender ATP凭证。在秘密的关键字段，创建一个凭证并将其粘贴到前面复制的Microsoft Defender ATP Application Secret中。另外，添加应用程序ID和目录ID你刚才抄的。

测试的进展

保存连接，连接测试将尝试对Azure Active Directory Microsoft Defender ATP应用程序进行身份验证。Connection贴图上的蓝色圆圈表示Connection测试正在进行中。

成功

如果没有循环，则连接成功，您可以开始使用Microsoft Defender ATP协调流程。

失败

红色圆圈表示连接测试失败。如果出现这种情况，请在再次尝试之前检查连接细节(包括应用程序秘密、应用程序ID和目录ID)。

日志可能包含有用的故障排除信息。首先，点击看法查看最近的连接测试列表。

下测试状态选项卡，展开遇到错误的测试的下拉列表以查看其日志。