Notifications Defender pour Identity dans Microsoft Defender XDR
Microsoft Defender pour Identity fournit des notifications pour les problèmes d’intégrité et les alertes de sécurité, via Notifications par e-mail ou sur un serveur Syslog.
Cet article explique comment configurer les notifications Defender pour Identity afin d’être au courant des problèmes d’intégrité ou des alertes de sécurité détectés.
Conseil
En plus des notifications par e-mail ou Syslog, nous recommandons aux administrateurs SOC d’utiliser Microsoft Sentinel pour afficher toutes les alertes dans un portail unique. Pour plus d’informations, consultez intégration Microsoft Defender XDR à Microsoft Sentinel. Pour intégrer d’autres outils SIEM, consultez Intégrer vos outils SIEM à Microsoft Defender XDR.
Configurer Notifications par e-mail
Cette section explique comment configurer Notifications par e-mail pour les problèmes d’intégrité ou les alertes de sécurité de Defender pour Identity.
Dans Microsoft Defender XDR, sélectionnez Paramètres>Identités.
Sous Notifications, sélectionnez Notifications des problèmes d’intégrité ou Notifications d’alerte si nécessaire.
Dans l’e-mail Ajouter un destinataire, entrez la ou les adresses de messagerie dans lesquelles vous souhaitez recevoir Notifications par e-mail, puis sélectionnez + Ajouter.
Chaque fois que Defender pour Identity détecte un problème d’intégrité ou une alerte de sécurité, les destinataires configurés reçoivent une notification par e-mail avec les détails, avec un lien vers Microsoft Defender XDR pour plus d’informations.
Remarque
La page des notifications d’alerte sera déconseillée d’après le 15 janvier 2025. Utilisez la page « Notifications Email » sous Defender XDR paramètres pour les règles de notifications nouvelles et existantes. En savoir plus
Configurer les notifications Syslog
Cette section explique comment configurer Defender pour Identity pour envoyer des problèmes d’intégrité et des événements de sécurité à un serveur Syslog via un capteur configuré.
Les événements ne sont pas envoyés directement du service Defender pour Identity à votre serveur Syslog, mais uniquement par le biais du capteur.
Pour configurer les notifications Syslog :
Dans Microsoft Defender XDR, sélectionnez Paramètres>Identités.
Sous Notifications, sélectionnez Notifications Syslog , puis activez l’option service Syslog .
Sélectionnez Configurer le service pour ouvrir le volet service Syslog .
Entrez les détails suivants :
- Capteur : sélectionnez le capteur que vous souhaitez envoyer des notifications au serveur Syslog.
- Point de terminaison de service et port : entrez l’adresse IP ou le nom de domaine complet (FQDN) du serveur Syslog, puis entrez le numéro de port. Vous ne pouvez configurer qu’un seul point de terminaison Syslog.
- Transport : sélectionnez le protocole de transport (TCP ou UDP).
- Format : sélectionnez le format (RFC 3164 ou RFC 5424).
Sélectionnez Envoyer une notification SIEM de test , puis vérifiez que le message est reçu dans votre solution d’infrastructure Syslog.
Une fois que vous avez confirmé que le test fonctionne, sélectionnez Enregistrer.
Après avoir configuré le service Syslog, sélectionnez les types de notifications à envoyer à votre serveur Syslog, notamment :
- Une nouvelle alerte de sécurité est détectée
- Une alerte de sécurité existante est mise à jour
- Un nouveau problème d’intégrité est détecté
Conseil
Lorsque vous utilisez Syslog en mode TLS, veillez à installer les certificats requis sur le capteur désigné.
Création de scripts d’automatisation pour les journaux SIEM Defender pour Identity
Si vous créez des scripts d’automatisation pour les journaux SIEM Defender pour Identity, nous vous recommandons d’utiliser le champ externalId pour identifier le type d’alerte au lieu d’utiliser le nom de l’alerte.
Bien que les noms des alertes puissent parfois être modifiés, l’externalId de chaque alerte est permanent. Pour plus d’informations, consultez Informations de référence sur les journaux SIEM Defender pour Identity.
Contenu connexe
Pour plus d’informations, consultez Configurer la collecte d’événements.