Defender for Identity-meldingen in Microsoft Defender XDR
Microsoft Defender for Identity biedt meldingen voor statusproblemen en beveiligingswaarschuwingen, via e-mailmeldingen of naar een Syslog-server.
In dit artikel wordt beschreven hoe u Defender for Identity-meldingen configureert, zodat u op de hoogte bent van eventuele statusproblemen of beveiligingswaarschuwingen die zijn gedetecteerd.
Tip
Naast e-mail- of Syslog-meldingen raden we u aan dat SOC-beheerders Microsoft Sentinel gebruiken om alle waarschuwingen in één portal te bekijken. Zie integratie met Microsoft Defender XDR met Microsoft Sentinel voor meer informatie. Zie Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR als u andere SIEM-hulpprogramma's wilt integreren.
E-mailmeldingen configureren
In deze sectie wordt beschreven hoe u e-mailmeldingen configureert voor statusproblemen met Defender for Identity of beveiligingswaarschuwingen.
Selecteer in Microsoft Defender XDRInstellingen>Identiteiten.
Selecteer onder Meldingende optie Statusproblemenmeldingen of Waarschuwingsmeldingen indien nodig.
Voer in de e-mail geadresseerde toevoegen het e-mailadres of de e-mailadressen in waar u e-mailmeldingen wilt ontvangen en selecteer + Toevoegen.
Wanneer Defender for Identity een statusprobleem of beveiligingswaarschuwing detecteert, ontvangen geconfigureerde geadresseerden een e-mailmelding met de details, met een koppeling naar Microsoft Defender XDR voor meer informatie.
Opmerking
De pagina Waarschuwingsmeldingen wordt op 15 januari 2025 afgeschaft. Gebruik de pagina 'Email meldingen' onder Defender XDR instellingen voor nieuwe en bestaande meldingsregels. Meer informatie
Syslog-meldingen configureren
In deze sectie wordt beschreven hoe u Defender for Identity configureert om statusproblemen en beveiligingsgebeurtenissen te verzenden naar een Syslog-server via een geconfigureerde sensor.
Gebeurtenissen worden niet rechtstreeks vanuit de Defender for Identity-service naar uw Syslog-server verzonden, maar alleen via de sensor.
Syslog-meldingen configureren:
Selecteer in Microsoft Defender XDRInstellingen>Identiteiten.
Selecteer onder Meldingende optie Syslog-meldingen en schakel vervolgens de optie Syslog-service in.
Selecteer Service configureren om het deelvenster Syslog-service te openen.
Voer de volgende gegevens in:
- Sensor: selecteer de sensor die u meldingen wilt verzenden naar de Syslog-server
- Service-eindpunt en poort: voer het IP-adres of FQDN (Fully Qualified Domain Name) voor de Syslog-server in en voer vervolgens het poortnummer in. U kunt slechts één Syslog-eindpunt configureren.
- Transport: selecteer het transportprotocol (TCP of UDP).
- Indeling: selecteer de indeling (RFC 3164 of RFC 5424).
Selecteer Siem-testmelding verzenden en controleer of het bericht is ontvangen in uw Syslog-infrastructuuroplossing.
Wanneer u hebt bevestigd dat de test werkt, selecteert u Opslaan.
Nadat u de Syslog-service hebt geconfigureerd, selecteert u de typen meldingen die naar uw Syslog-server moeten worden verzonden, inclusief wanneer:
- Er is een nieuwe beveiligingswaarschuwing gedetecteerd
- Een bestaande beveiligingswaarschuwing wordt bijgewerkt
- Er is een nieuw statusprobleem gedetecteerd
Tip
Wanneer u in de TLS-modus met Syslog werkt, moet u ervoor zorgen dat u de vereiste certificaten op de aangewezen sensor installeert.
Automatiseringsscripts maken voor Defender for Identity SIEM-logboeken
Als u automatiseringsscripts maakt voor Defender for Identity SIEM-logboeken, raden we u aan het veld externalId te gebruiken om het waarschuwingstype te identificeren in plaats van de waarschuwingsnaam te gebruiken.
Hoewel namen van waarschuwingen af en toe kunnen worden gewijzigd, is de externalId van elke waarschuwing permanent. Zie Defender for Identity SIEM-logboekverwijzing voor meer informatie.
Verwante onderwerpen
Zie Gebeurtenisverzameling configureren voor meer informatie.