Del via

Varsler om Defender for identitet i Microsoft Defender XDR

  • Artikkel

Microsoft Defender for identitet varsler om helseproblemer og sikkerhetsvarsler, enten via e-postvarsler eller til en Syslog-server.

Denne artikkelen beskriver hvordan du konfigurerer Varsler om Defender for identitet, slik at du er klar over eventuelle helseproblemer eller sikkerhetsvarsler som oppdages.

Tips

I tillegg til e-post- eller Syslog-varsler anbefaler vi at SOC-administratorer bruker Microsoft Sentinel til å vise alle varsler i én enkelt portal. Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR integrering med Microsoft Sentinel. Hvis du vil integrere andre SIEM-verktøy, kan du se Integrere SIEM-verktøyene med Microsoft Defender XDR.

Konfigurere e-postvarsler

Denne delen beskriver hvordan du konfigurerer e-postvarsler for Defender for identitetsproblemer eller sikkerhetsvarsler.

  1. Velg Innstillinger-identiteter>i Microsoft Defender XDR.

  2. Under Varsler velger du varsler om helseproblemer eller varslinger etter behov.

  3. Skriv inn e-postadressen(e) der du vil motta e-postvarsler, i e-posten Legg til mottaker, og velg + Legg til.

Når Defender for Identity oppdager et tilstandsproblem eller sikkerhetsvarsel, mottar konfigurerte mottakere et e-postvarsel med detaljene, med en kobling til Microsoft Defender XDR for mer informasjon.

Obs!

Varslingssiden avvikles innen 15. januar 2025. Bruk siden «E-postvarsler» under Defender XDR innstillinger for nye og eksisterende varslingsregler. Finn ut mer

Konfigurer Syslog-varsler

Denne delen beskriver hvordan du konfigurerer Defender for Identity til å sende helseproblemer og sikkerhetshendelser til en Syslog-server gjennom en konfigurert sensor.

Hendelser sendes ikke direkte fra Defender for Identity-tjenesten til Syslog-serveren, men bare gjennom sensoren.

Slik konfigurerer du Syslog-varsler:

  1. Velg Innstillinger-identiteter>i Microsoft Defender XDR.

  2. Velg Syslog-varsler under Varsler, og aktiver deretter alternativet Syslog-tjeneste.

  3. Velg Konfigurer tjeneste for å åpne Syslog-tjenesteruten .

  4. Skriv inn følgende detaljer:

    • Sensor: Velg sensoren du vil sende varsler til Syslog-serveren
    • Tjenesteendepunkt og port: Skriv inn IP-adressen eller fullstendig domenenavn (FQDN) for Syslog-serveren, og angi deretter portnummeret. Du kan bare konfigurere ett Syslog-endepunkt.
    • Transport: Velg Transportprotokoll (TCP eller UDP).
    • Format: Velg formatet (RFC 3164 eller RFC 5424).

  5. Velg Send test-SIEM-varsel, og kontroller deretter at meldingen er mottatt i Syslog-infrastrukturløsningen.

  6. Når du har bekreftet at testen fungerer, velger du Lagre.

  7. Når du har konfigurert Syslog-tjenesten, velger du hvilke typer varsler som skal sendes til Syslog-serveren, inkludert når som helst:

    • Det oppdages et nytt sikkerhetsvarsel
    • Et eksisterende sikkerhetsvarsel oppdateres
    • Det oppdages et nytt helseproblem

Tips

Når du arbeider med Syslog i TLS-modus, må du installere de nødvendige sertifikatene på den angitte sensoren.

Opprette automatiseringsskript for Defender for SIEM-logger for identitet

Hvis du oppretter automatiseringsskript for Defender for identitets-SIEM-logger, anbefaler vi at du bruker det eksterneId-feltet til å identifisere varseltypen i stedet for å bruke varselnavnet.

Selv om varslingsnavn av og til kan endres, er den eksterne ID-en for hvert varsel permanent. Hvis du vil ha mer informasjon, kan du se Referanse for Defender for identitets-SIEM-loggen.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se Konfigurer hendelsessamling.