次の方法で共有

Microsoft Defender XDRでの Defender for Identity 通知

  • [アーティクル]

Microsoft Defender for Identityは、メール通知または Syslog サーバーを介して、正常性の問題とセキュリティ アラートに関する通知を提供します。

この記事では、検出された正常性の問題やセキュリティ アラートを認識できるように Defender for Identity 通知を構成する方法について説明します。

ヒント

電子メールまたは Syslog 通知に加えて、SOC 管理者はMicrosoft Sentinelを使用して、すべてのアラートを 1 つのポータルで表示することをお勧めします。 詳細については、「Microsoft Sentinelとの統合Microsoft Defender XDR」を参照してください。 その他の SIEM ツールを統合するには、「SIEM ツールをMicrosoft Defender XDRに統合する」を参照してください。

電子メール通知を構成する

このセクションでは、Defender for Identity の正常性の問題またはセキュリティ アラートの電子メール通知を構成する方法について説明します。

  1. Microsoft Defender XDRで、[設定>Identities] を選択します。

  2. [ 通知] で必要に応じて [正常性の問題の通知 ] または [ アラート通知 ] を選択します。

  3. [ 受信者のメールの追加] で、メール通知を受信するメール アドレスを入力し、[ + 追加] を選択します。

Defender for Identity が正常性の問題またはセキュリティ アラートを検出するたびに、構成された受信者は詳細を含む電子メール通知を受け取り、詳細についてはMicrosoft Defender XDRへのリンクを含みます。

注:

アラート通知 ページは、2025 年 1 月 15 日までに非推奨になります。 新しい通知ルールと既存の通知ルールの [Defender XDR設定] の [Email通知] ページを使用してください。 詳細情報

Syslog 通知を構成する

このセクションでは、構成されたセンサーを介して正常性の問題とセキュリティ イベントを Syslog サーバーに送信するように Defender for Identity を構成する方法について説明します。

イベントは Defender for Identity サービスから Syslog サーバーに直接送信されるのではなく、センサー経由でのみ送信されます。

Syslog 通知を構成するには:

  1. Microsoft Defender XDRで、[設定>Identities] を選択します。

  2. [ 通知] で [ Syslog 通知 ] を選択し、[ Syslog サービス ] オプションをオンに切り替えます。

  3. [ サービスの構成] を選択 して[ Syslog サービス ] ウィンドウを開きます。

  4. 次の詳細を入力します:

    • センサー: Syslog サーバーに通知を送信するセンサーを選択します
    • サービス エンドポイントポート: Syslog サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、ポート番号を入力します。 Syslog エンドポイントは 1 つだけ構成できます。
    • トランスポート: トランスポート プロトコル (TCP または UDP) を選択します。
    • [形式]: 形式 (RFC 3164 または RFC 5424) を選択します。

  5. [ テスト SIEM 通知の送信 ] を選択し、Syslog インフラストラクチャ ソリューションでメッセージが受信されたことを確認します。

  6. テストが動作することを確認したら、[保存] を選択 します

  7. Syslog サービスを構成したら、Syslog サーバーに送信する通知の種類を選択します。これには、次のタイミングが含まれます。

    • 新しいセキュリティ アラートが検出されました
    • 既存のセキュリティ アラートが更新される
    • 新しい正常性の問題が検出されました

ヒント

TLS モードで Syslog を使用する場合は、指定したセンサーに必要な証明書をインストールしてください。

Defender for Identity SIEM ログの自動化スクリプトの作成

Defender for Identity SIEM ログの自動化スクリプトを作成する場合は、アラート名を使用するのではなく、 externalId フィールドを使用してアラートの種類を特定することをお勧めします。

アラート名は変更されることがありますが、各アラートの externalId は永続的です。 詳細については、「 Defender for Identity SIEM ログ リファレンス」を参照してください

関連コンテンツ

詳細については、「 イベント コレクションの構成」を参照してください。