Defender for Identity -ilmoitukset Microsoft Defender XDR

Microsoft Defender for Identity ilmoittaa kunto- ja suojaushälytyksistä joko sähköposti-ilmoituksilla tai Syslog-palvelimelle.

Tässä artikkelissa kuvataan, miten määritetään Defender for Identity -ilmoitukset niin, että olet tietoinen havaituista terveysongelmista tai suojaushälytyksistä.

Vihje

Sähköposti- tai Syslog-ilmoitusten lisäksi suosittelemme, että SOC-järjestelmänvalvojat tarkastelevat kaikkia ilmoituksia yhdessä portaalissa Microsoft Sentinel. Lisätietoja on artikkelissa Microsoft Defender XDR integrointi Microsoft Sentinel kanssa. Jos haluat integroida muita SIEM-työkaluja, katso siem-työkalujen integrointi Microsoft Defender XDR kanssa.

Sähköposti-ilmoitusten määrittäminen

Tässä osiossa kuvataan, miten määritetään sähköposti-ilmoitukset Defenderin käyttäjätietojen kunto-ongelmille tai suojaushälytyksille.

1. Valitse Microsoft Defender XDRAsetukset-käyttäjätiedot>.

2. Valitse Ilmoitukset-kohdassaKunto-ongelmien ilmoitukset tai Ilmoitusilmoitukset tarvittaessa.

3. Kirjoita Lisää vastaanottaja -sähköpostiviestiin sähköpostiosoite, johon haluat vastaanottaa sähköposti-ilmoituksia, ja valitse + Lisää.

Aina kun Defender for Identity havaitsee kunto-ongelman tai suojausilmoituksen, määritetyt vastaanottajat saavat sähköposti-ilmoituksen, jossa on tiedot ja linkki Microsoft Defender XDR lisätietoja.

Huomautus

Ilmoitusten sivu poistetaan käytöstä 15.1.2025 mennessä. Käytä Sähköposti-ilmoitukset-sivua kohdassa Defender XDR uusien ja aiemmin luotujen ilmoitussääntöjen asetukset. Lisätietoja

Syslog-ilmoitusten määrittäminen

Tässä osiossa kuvataan, miten määritetään Defender for Identity lähettämään kunto- ja suojaustapahtumia Syslog-palvelimeen määritetyn tunnistimen kautta.

Tapahtumia ei lähetetä suoraan Defender for Identity -palvelusta Syslog-palvelimeen, vaan vain tunnistimen kautta.

Syslog-ilmoitusten määrittäminen:

1. Valitse Microsoft Defender XDRAsetukset-käyttäjätiedot>.

2. Valitse Ilmoitukset-kohdassaSyslog-ilmoitukset ja valitse sitten Syslog-palveluvaihtoehto .

3. Avaa Syslog-palveluruutu valitsemalla Määritä palvelu.

4. Anna seuraavat tiedot:

   • Tunnistin: Valitse tunnistin, jonka haluat lähettää ilmoitukset Syslog-palvelimelle
   • Palvelun päätepiste ja portti: Anna Syslog-palvelimen IP-osoite tai täydellinen toimialueen nimi (FQDN) ja kirjoita sitten portin numero. Voit määrittää vain yhden Syslog-päätepisteen.
   • Siirto: Valitse Transport-protokolla (TCP tai UDP).
   • Muoto: Valitse muoto (RFC 3164 tai RFC 5424).

5. Valitse Lähetä testi-SIEM-ilmoitus ja varmista sitten, että viesti on vastaanotettu Syslog-infrastruktuuriratkaisussasi.

6. Kun olet vahvistanut testin toimivan, valitse Tallenna.

7. Kun olet määrittänut Syslog-palvelun, valitse Syslog-palvelimeen lähetttävien ilmoitusten tyypit, mukaan lukien milloin:

   • Uusi suojaushälytys havaitaan
   • Aiemmin luotu suojaushälytys päivitetään
   • Uusi kunto-ongelma havaitaan

Vihje

Kun käytät Syslogia TLS-tilassa, muista asentaa tarvittavat varmenteet määritettyyn tunnistimeen.

Automaatiokomentosarjojen luominen Defenderille käyttäjätietojen SIEM-lokeille

Jos olet luomassa automaatiokomentosarjoja Defender for Identity SIEM -lokeille, suosittelemme, että käytät externalId-kenttää ilmoitustyypin tunnistamiseen hälytyksen nimen käyttämisen sijaan.

Vaikka ilmoitusten nimiä voidaan toisinaan muokata, jokaisen hälytyksen ulkoinen tunnus on pysyvä. Lisätietoja on kohdassa Defender for Identity SIEM -lokiviittaus.

Aiheeseen liittyvä sisältö

Lisätietoja on kohdassa Tapahtumakokoelman määrittäminen.