Freigeben über

Defender for Identity-Benachrichtigungen in Microsoft Defender XDR

  • Artikel

Microsoft Defender for Identity stellt Benachrichtigungen zu Integritätsproblemen und Sicherheitswarnungen bereit, entweder über E-Mail-Benachrichtigungen oder an einen Syslog-Server.

In diesem Artikel wird beschrieben, wie Sie Defender for Identity-Benachrichtigungen so konfigurieren, dass Sie über erkannte Integritätsprobleme oder Sicherheitswarnungen informiert sind.

Tipp

Zusätzlich zu E-Mail- oder Syslog-Benachrichtigungen wird empfohlen, dass SOC-Administratoren Microsoft Sentinel verwenden, um alle Warnungen in einem einzigen Portal anzuzeigen. Weitere Informationen finden Sie unter Microsoft Defender XDR Integration in Microsoft Sentinel. Informationen zum Integrieren anderer SIEM-Tools finden Sie unter Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR.

Konfigurieren von E-Mail-Benachrichtigungen

In diesem Abschnitt wird beschrieben, wie Sie E-Mail-Benachrichtigungen für Integritätsprobleme oder Sicherheitswarnungen von Defender for Identity konfigurieren.

  1. Wählen Sie Microsoft Defender XDREinstellungen>Identitäten aus.

  2. Wählen Sie unter Benachrichtigungen die Option Benachrichtigungen zu Integritätsproblemen oder Warnungsbenachrichtigungen nach Bedarf aus.

  3. Geben Sie unter Empfänger-E-Mail hinzufügen die E-Mail-Adresse(n) ein, an die Sie E-Mail-Benachrichtigungen empfangen möchten, und wählen Sie + Hinzufügen aus.

Wenn Defender for Identity ein Integritätsproblem oder eine Sicherheitswarnung erkennt, erhalten konfigurierte Empfänger eine E-Mail-Benachrichtigung mit den Details mit einem Link zu Microsoft Defender XDR für weitere Details.

Hinweis

Die Seite "Warnungsbenachrichtigungen " wird am 15. Januar 2025 eingestellt. Verwenden Sie die Seite "Email Benachrichtigungen" unter Defender XDR Einstellungen für neue und vorhandene Benachrichtigungsregeln. Weitere Informationen

Konfigurieren von Syslog-Benachrichtigungen

In diesem Abschnitt wird beschrieben, wie Sie Defender for Identity so konfigurieren, dass Integritätsprobleme und Sicherheitsereignisse über einen konfigurierten Sensor an einen Syslog-Server gesendet werden.

Ereignisse werden nicht direkt vom Defender for Identity-Dienst an Ihren Syslog-Server gesendet, sondern nur über den Sensor.

So konfigurieren Sie Syslog-Benachrichtigungen:

  1. Wählen Sie Microsoft Defender XDREinstellungen>Identitäten aus.

  2. Wählen Sie unter Benachrichtigungendie Option Syslog-Benachrichtigungen aus, und schalten Sie dann die Option Syslog-Dienst ein.

  3. Wählen Sie Dienst konfigurieren aus, um den Bereich Syslog-Dienst zu öffnen.

  4. Geben Sie die folgenden Details ein:

    • Sensor: Wählen Sie den Sensor aus, den Sie Benachrichtigungen an den Syslog-Server senden möchten.
    • Dienstendpunkt und Port: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den Syslog-Server ein, und geben Sie dann die Portnummer ein. Sie können nur einen Syslog-Endpunkt konfigurieren.
    • Transport: Wählen Sie das Transportprotokoll (TCP oder UDP) aus.
    • Format: Wählen Sie das Format aus (RFC 3164 oder RFC 5424).

  5. Wählen Sie Test-SIEM-Benachrichtigung senden aus, und überprüfen Sie dann, ob die Nachricht in Ihrer Syslog-Infrastrukturlösung empfangen wird.

  6. Wenn Sie bestätigt haben, dass der Test funktioniert, wählen Sie Speichern aus.

  7. Wählen Sie nach dem Konfigurieren des Syslog-Diensts die Typen von Benachrichtigungen aus, die an Ihren Syslog-Server gesendet werden sollen, einschließlich der folgenden:

    • Eine neue Sicherheitswarnung wird erkannt.
    • Eine vorhandene Sicherheitswarnung wird aktualisiert.
    • Ein neues Integritätsproblem wurde erkannt.

Tipp

Wenn Sie mit Syslog im TLS-Modus arbeiten, müssen Sie die erforderlichen Zertifikate auf dem angegebenen Sensor installieren.

Erstellen von Automatisierungsskripts für Defender for Identity-SIEM-Protokolle

Wenn Sie Automatisierungsskripts für Defender for Identity-SIEM-Protokolle erstellen, empfiehlt es sich, anstelle des Warnungsnamens das Feld externalId zu verwenden, um den Warnungstyp zu identifizieren.

Warnungsnamen können zwar gelegentlich geändert werden, die externalId jeder Warnung ist jedoch dauerhaft. Weitere Informationen finden Sie unter Defender for Identity SIEM-Protokollreferenz.

Verwandte Inhalte

Weitere Informationen finden Sie unter Konfigurieren der Ereignissammlung.