Freigeben über


Defender for Identity-Benachrichtigungen in Microsoft Defender XDR

Microsoft Defender for Identity stellt Benachrichtigungen für Integritätsprobleme und Sicherheitswarnungen bereit, entweder über E-Mail-Benachrichtigungen oder an einen Syslog-Server.

In diesem Artikel wird beschrieben, wie Sie Defender for Identity-Benachrichtigungen so konfigurieren, dass Sie sich über Probleme mit dem Zustand oder die erkannten Sicherheitswarnungen bewusst sind.

Tipp

Zusätzlich zu E-Mail- oder Syslog-Benachrichtigungen empfehlen wir, dass SOC-Administratoren Microsoft Sentinel verwenden, um alle Warnungen in einem einzigen Portal anzuzeigen. Weitere Informationen finden Sie unter Microsoft 365 Defender-Integration mit Microsoft Sentinel. Informationen zum Integrieren weiterer SIEM-Tools finden Sie unter Integrieren von SIEM-Tools in Microsoft Defender XDR.

Konfigurieren von E-Mail-Benachrichtigungen

In diesem Abschnitt wird beschrieben, wie E-Mail-Benachrichtigungen für Defender for Identity-Integritätsprobleme oder Sicherheitswarnungen konfiguriert werden.

  1. Wählen Sie in Microsoft Defender XDR Einstellungen>Identitäten.

  2. Wählen Sie unter "Benachrichtigungen" nach Bedarf Benachrichtigungen zu Integritätsproblemen oder Benachrichtigungen aus.

  3. Geben Sie in der E-Mail-Adresse des Empfängers die E-Mail-Adresse(n) ein, an der Sie E-Mail-Benachrichtigungen empfangen möchten, und wählen Sie "+Hinzufügen" aus.

Wenn Defender for Identity ein Integritätsproblem oder eine Sicherheitswarnung erkennt, erhalten konfigurierte Empfänger eine E-Mail-Benachrichtigung mit den Details mit einem Link zu Microsoft Defender XDR, um weitere Details zu erhalten.

Hinweis

Die Benachrichtigungsseite wird bis zum 15. Januar 2025 nicht mehr unterstützt. Unter den Einstellungen von Defender XDR finden Sie die Seite „E-Mail-Benachrichtigungen“, auf der Sie die neuen und vorhandenen Benachrichtigungsregeln erkunden können. Weitere Informationen

Konfigurieren von Syslog-Benachrichtigungen

In diesem Abschnitt wird beschrieben, wie Sie Defender for Identity so konfigurieren, dass Integritätsprobleme und Sicherheitsereignisse über einen konfigurierten Sensor an einen Syslog-Server gesendet werden.

Ereignisse werden nicht direkt vom Defender for Identity-Dienst an Ihren Syslog-Server gesendet, sondern nur über den Sensor.

So konfigurieren Sie Syslog-Benachrichtigungen:

  1. Wählen Sie in Microsoft Defender XDR Einstellungen>Identitäten.

  2. Wählen Sie unter "Benachrichtigungen" syslog-Benachrichtigungen aus, und schalten Sie dann die Syslog-Dienstoption ein.

  3. Wählen Sie "Dienst konfigurieren" aus, um den Syslog-Dienstbereich zu öffnen.

  4. Geben Sie die folgenden Details ein:

    • Sensor: Wählen Sie den Sensor aus, den Sie Benachrichtigungen an den Syslog-Server senden möchten.
    • Dienstendpunkt und Port: Geben Sie die IP-Adresse oder vollqualifizierte do Standard Name (FQDN) für den Syslog-Server ein, und geben Sie dann die Portnummer ein. Sie können nur einen Syslog-Endpunkt konfigurieren.
    • Transport: Wählen Sie das Transportprotokoll (TCP oder UDP).
    • Format: Wählen Sie das Format aus (RFC 3164 oder RFC 5424).
  5. Wählen Sie "SIEM-Testbenachrichtigung senden" aus, und überprüfen Sie dann, ob die Nachricht in Ihrer Syslog-Infrastrukturlösung empfangen wurde.

  6. Wenn Sie bestätigt haben, dass der Test funktioniert, wählen Sie " Speichern" aus.

  7. Nachdem Sie den Syslog-Dienst konfiguriert haben, wählen Sie die Typen von Benachrichtigungen aus, die an Ihren Syslog-Server gesendet werden sollen, einschließlich wann immer:

    • Es wird eine neue Sicherheitswarnung erkannt
    • Eine vorhandene Sicherheitswarnung wird aktualisiert
    • Es wird ein neues Integritätsproblem erkannt

Tipp

Achten Sie beim Arbeiten mit Syslog im TLS-Modus darauf, die erforderlichen Zertifikate auf dem angegebenen Sensor zu installieren.

Erstellen von Automatisierungsskripts für Defender for Identity SIEM-Protokolle

Wenn Sie Automatisierungsskripts für Defender for Identity SIEM-Protokolle erstellen, empfehlen wir die Verwendung des externalId-Felds , um den Warnungstyp zu identifizieren, anstatt den Warnungsnamen zu verwenden.

Während Warnungsnamen gelegentlich geändert werden können, ist die externe ID jeder Warnung dauerhaft. Weitere Informationen finden Sie unter Defender for Identity SIEM-Protokollreferenz.

Weitere Informationen finden Sie unter Konfigurieren der Eventsammlung.