Notifiche di Defender per identità in Microsoft Defender XDR
Microsoft Defender per identità fornisce notifiche per problemi di integrità e avvisi di sicurezza, tramite notifiche tramite posta elettronica o a un server Syslog.
Questo articolo descrive come configurare le notifiche di Defender per identità in modo da essere a conoscenza di eventuali problemi di integrità o avvisi di sicurezza rilevati.
Consiglio
Oltre alle notifiche tramite posta elettronica o Syslog, è consigliabile che gli amministratori di SOC usno Microsoft Sentinel per visualizzare tutti gli avvisi in un unico portale. Per altre informazioni, vedere integrazione Microsoft Defender XDR con Microsoft Sentinel. Per integrare altri strumenti SIEM, vedere Integrare gli strumenti SIEM con Microsoft Defender XDR.
Configurare le notifiche di posta elettronica
Questa sezione descrive come configurare le notifiche tramite posta elettronica per i problemi di integrità di Defender per identità o gli avvisi di sicurezza.
In Microsoft Defender XDR selezionare Identità delle impostazioni>.
In Notifiche selezionare Notifiche problemi di integrità o Notifiche di avviso in base alle esigenze.
In Aggiungi messaggio di posta elettronica del destinatario immettere l'indirizzo di posta elettronica in cui si desidera ricevere le notifiche di posta elettronica e selezionare + Aggiungi.
Ogni volta che Defender per identità rileva un problema di integrità o un avviso di sicurezza, i destinatari configurati ricevono una notifica tramite posta elettronica con i dettagli, con un collegamento a Microsoft Defender XDR per altri dettagli.
Nota
La pagina delle notifiche di avviso verrà deprecata entro il 15 gennaio 2025. Usare la pagina "notifiche Email" in impostazioni di Defender XDR per le regole di notifica nuove ed esistenti. Altre informazioni
Configurare le notifiche syslog
Questa sezione descrive come configurare Defender per identità per inviare problemi di integrità ed eventi di sicurezza a un server Syslog tramite un sensore configurato.
Gli eventi non vengono inviati direttamente dal servizio Defender per identità al server Syslog, ma solo tramite il sensore.
Per configurare le notifiche syslog:
In Microsoft Defender XDR selezionare Identità delle impostazioni>.
In Notifiche selezionare Notifiche syslog e quindi attivare o disattivare l'opzione del servizio Syslog .
Selezionare Configura servizio per aprire il riquadro del servizio Syslog .
Immettere i dettagli seguenti:
- Sensore: selezionare il sensore che si desidera inviare notifiche al server Syslog
- Endpoint servizio e porta: immettere l'indirizzo IP o il nome di dominio completo (FQDN) per il server Syslog e quindi immettere il numero di porta. È possibile configurare un solo endpoint Syslog.
- Trasporto: selezionare il protocollo di trasporto (TCP o UDP).
- Formato: selezionare il formato (RFC 3164 o RFC 5424).
Selezionare Invia notifica SIEM di test e quindi verificare che il messaggio venga ricevuto nella soluzione di infrastruttura Syslog.
Dopo aver confermato il funzionamento del test, selezionare Salva.
Dopo aver configurato il servizio Syslog, selezionare i tipi di notifiche da inviare al server Syslog, anche quando:
- Viene rilevato un nuovo avviso di sicurezza
- Viene aggiornato un avviso di sicurezza esistente
- Viene rilevato un nuovo problema di integrità
Consiglio
Quando si usa Syslog in modalità TLS, assicurarsi di installare i certificati necessari nel sensore designato.
Creazione di script di automazione per i log SIEM di Defender per identità
Se si creano script di automazione per i log SIEM di Defender per identità, è consigliabile usare il campo externalId per identificare il tipo di avviso anziché usare il nome dell'avviso.
Anche se i nomi degli avvisi possono essere modificati occasionalmente, l'externalId di ogni avviso è permanente. Per altre informazioni, vedere Informazioni di riferimento sul log SIEM di Defender per identità.
Contenuto correlato
Per altre informazioni, vedere Configurare la raccolta di eventi.