Sdílet prostřednictvím

Oznámení služby Defender for Identity v Microsoft Defender XDR

  • Článek

Microsoft Defender for Identity poskytuje oznámení o problémech se stavem a výstrahách zabezpečení, a to buď prostřednictvím e-mailových oznámení, nebo na server Syslog.

Tento článek popisuje, jak nakonfigurovat oznámení Defenderu for Identity, abyste měli informace o všech zjištěných problémech se stavem nebo zjištěných výstrahách zabezpečení.

Tip

Kromě e-mailových oznámení nebo oznámení syslogu doporučujeme správcům SOC používat Microsoft Sentinel k zobrazení všech upozornění na jednom portálu. Další informace najdete v tématu integrace Microsoft Defender XDR s Microsoft Sentinel. Pokud chcete integrovat další nástroje SIEM, přečtěte si téma Integrace nástrojů SIEM s Microsoft Defender XDR.

Konfigurace e-mailových oznámení

Tato část popisuje, jak nakonfigurovat e-mailová oznámení pro problémy se stavem služby Defender for Identity nebo výstrahy zabezpečení.

  1. V Microsoft Defender XDR vyberte Identity nastavení>.

  2. V části Oznámení vyberte Oznámení o problémech se stavem nebo Oznámení výstrah podle potřeby.

  3. Do pole Přidat e-mail příjemce zadejte e-mailové adresy, na které chcete dostávat e-mailová oznámení, a vyberte + Přidat.

Kdykoli Defender for Identity zjistí problém se stavem nebo výstrahu zabezpečení, nakonfigurovaní příjemci dostanou e-mailové oznámení s podrobnostmi s odkazem na Microsoft Defender XDR další podrobnosti.

Poznámka

Stránka s oznámeními výstrah bude do 15. ledna 2025 zastaralá. Pro nová a stávající pravidla oznámení použijte stránku oznámení Email v části nastavení Defender XDR. Další informace

Konfigurace oznámení syslogu

Tato část popisuje, jak nakonfigurovat Defender for Identity tak, aby odesílal problémy se stavem a události zabezpečení na server Syslog prostřednictvím nakonfigurovaného senzoru.

Události se ze služby Defender for Identity neodesílají přímo na server Syslog, ale pouze prostřednictvím senzoru.

Konfigurace oznámení syslogu:

  1. V Microsoft Defender XDR vyberte Identity nastavení>.

  2. V části Oznámení vyberte Oznámení syslogu a pak přepněte možnost Služba Syslog .

  3. Výběrem možnosti Konfigurovat službu otevřete podokno služby Syslog .

  4. Zadejte následující podrobnosti:

    • Senzor: Vyberte senzor, který chcete posílat oznámení na server Syslog.
    • Koncový bod služby a port: Zadejte IP adresu nebo plně kvalifikovaný název domény (FQDN) serveru Syslog a pak zadejte číslo portu. Můžete nakonfigurovat jenom jeden koncový bod Syslogu.
    • Přenos: Vyberte transportní protokol (TCP nebo UDP).
    • Formát: Vyberte formát (RFC 3164 nebo RFC 5424).

  5. Vyberte Odeslat testovací oznámení SIEM a pak ověřte přijetí zprávy v řešení infrastruktury Syslogu.

  6. Až ověříte, že test funguje, vyberte Uložit.

  7. Po konfiguraci služby Syslog vyberte typy oznámení, která se mají odesílat na server Syslog, včetně následujících:

    • Byla zjištěna nová výstraha zabezpečení.
    • Aktualizuje se existující výstraha zabezpečení.
    • Byl zjištěn nový problém se stavem

Tip

Při práci se syslogem v režimu TLS nezapomeňte nainstalovat požadované certifikáty na určený senzor.

Vytváření automatizačních skriptů pro protokoly SIEM služby Defender for Identity

Pokud vytváříte automatizační skripty pro protokoly SIEM defenderu for Identity, doporučujeme místo názvu upozornění použít pole externalId k identifikaci typu upozornění.

I když se názvy výstrah můžou občas změnit, externí ID každé výstrahy je trvalé. Další informace najdete v tématu Referenční informace k protokolu SIEM služby Defender for Identity.

Související obsah

Další informace najdete v tématu Konfigurace shromažďování událostí.