Alerte MCAS + Power Automate

Dans cet article, nous allons mettre en place un flux automatisé avec Power Automate pour traiter les alertes générées par Microsoft Cloud App Security (MCAS). L’objectif est de simplifier la gestion des alertes en fonction de critères spécifiques, tels que l’adresse IP. Selon ces critères, le flux pourra automatiquement fermer une alerte ou envoyer un email d’avertissement aux administrateurs. Cette approche permet d’optimiser la réactivité face aux menaces tout en réduisant le temps passé sur la gestion manuelle des alertes.

Prérequis

  • Accès à Microsoft Cloud App Security (MCAS)
  • Accès à Power Automate
  • Permission pour créer des flux et des alertes dans MCAS et Power Automate

Étape 1 : Créer une alerte dans Microsoft Cloud App Security (MCAS)

  1. Accédez au portail Microsoft Cloud App Security.
  2. Allez dans le menu Alerte.
  3. Cliquez sur Créer une alerte.
  4. Configurez les critères de votre alerte (par exemple, l’activité suspecte, les connexions à partir d’une IP non approuvée).
  5. Assurez-vous que les alertes sont envoyées à Power Automate en activant l’option d’intégration Power Automate lors de la création de l’alerte.
  6. Sauvegardez l’alerte.

Étape 2 : Créer un flux dans Power Automate

  1. Connectez-vous à Power Automate (flow.microsoft.com).
  1. Cliquez sur Créer dans le menu de gauche.
  2. Sélectionnez Automatisé – à partir d’un modèle vierge.

Étape 3 : Configurer le déclencheur

  1. Dans la page suivante, cherchez le connecteur Microsoft C loud App Security.
  2. Choisissez le déclencheur Quand une alerte est générée.
  3. Authentifiez-vous si nécessaire pour connecter votre compte Microsoft Cloud App Security.
  4. Cliquez sur Suivant.

Étape 4 : Ajouter une condition pour traiter l’alerte

  1. Après avoir ajouté le déclencheur, cliquez sur Nouvelle étape.
  2. Sélectionnez l’action Condition pour définir les critères d’analyse de l’alerte.
  3. Configurez la condition basée sur les données de l’alerte (par exemple : Si l’IP est égale à une adresse IP spécifique ou un sous-réseau non approuvé).

Étape 5 : Fermer l’alerte ou envoyer un email

  1. Si la condition est remplie (par exemple, l’IP correspond à une adresse IP approuvée) :
    • Cliquez sur Ajouter une action dans la branche Si vrai.
    • Sélectionnez l’action Fermer l’alerte (depuis le connecteur Microsoft Cloud App Security).
    • Configurez les paramètres pour marquer l’alerte comme clôturée.
  2. Si la condition n’est pas remplie (par exemple, l’IP est non approuvée) :
    • Cliquez sur Ajouter une action dans la branche Si faux.
    • Sélectionnez l’action Envoyer un e-mail.
    • Configurez l’email à envoyer aux administrateurs ou à une équipe dédiée. Vous pouvez inclure des informations de l’alerte comme le nom de l’alerte, l’IP suspecte, etc.

Étape 6 : Tester et publier le flux

  1. Testez le flux en déclenchant une alerte depuis MCAS correspondant aux critères définis.
  1. Vérifiez si le flux traite correctement l’alerte (fermeture ou envoi d’email).
  2. Une fois confirmé, cliquez sur Enregistrer et Activer le flux.

Étape 7 : Surveillance et ajustement

  1. Surveillez les alertes générées dans MCAS et vérifiez si les actions sont correctement exécutées.
  2. Si nécessaire, ajustez les critères du flux pour mieux répondre aux différents scénarios d’alerte.

Laisser un commentaire

Propulsé par WordPress.com.

Retour en haut ↑