Powiadomienia usługi Defender for Identity w Microsoft Defender XDR
Microsoft Defender for Identity udostępnia powiadomienia dotyczące problemów z kondycją i alertów zabezpieczeń za pośrednictwem powiadomień e-mail lub serwera Syslog.
W tym artykule opisano sposób konfigurowania powiadomień usługi Defender for Identity w celu uzyskania informacji o wszelkich wykrytych problemach zdrowotnych lub alertach zabezpieczeń.
Porada
Oprócz powiadomień e-mail lub Syslog zalecamy, aby administratorzy SOC korzystali z Microsoft Sentinel do wyświetlania wszystkich alertów w jednym portalu. Aby uzyskać więcej informacji, zobacz integrację Microsoft Defender XDR z Microsoft Sentinel. Aby zintegrować inne narzędzia SIEM, zobacz Integrowanie narzędzi SIEM z Microsoft Defender XDR.
Konfigurowanie powiadomień e-mail
W tej sekcji opisano sposób konfigurowania powiadomień e-mail dotyczących problemów z kondycją usługi Defender for Identity lub alertów zabezpieczeń.
W Microsoft Defender XDR wybierz pozycję Ustawienia>Tożsamości.
W obszarze Powiadomienia wybierz pozycję Powiadomienia o problemach z kondycją lub Powiadomienia o alertach w razie potrzeby.
W polu Dodaj adres e-mail adresata wprowadź adresy e-mail, na których chcesz otrzymywać powiadomienia e-mail, a następnie wybierz pozycję + Dodaj.
Za każdym razem, gdy usługa Defender for Identity wykryje problem z kondycją lub alert zabezpieczeń, skonfigurowani adresaci otrzymają powiadomienie e-mail ze szczegółami z linkiem do Microsoft Defender XDR, aby uzyskać więcej szczegółów.
Uwaga
Strona powiadomień o alertach zostanie wycofana do 15 stycznia 2025 r. Użyj strony "powiadomienia Email" w obszarze ustawień Defender XDR dla nowych i istniejących reguł powiadomień. Dowiedz się więcej
Konfigurowanie powiadomień dziennika systemowego
W tej sekcji opisano sposób konfigurowania usługi Defender for Identity w celu wysyłania problemów z kondycją i zdarzeń zabezpieczeń do serwera Syslog za pośrednictwem skonfigurowanego czujnika.
Zdarzenia nie są wysyłane bezpośrednio z usługi Defender for Identity do serwera Syslog, ale tylko za pośrednictwem czujnika.
Aby skonfigurować powiadomienia Syslog:
W Microsoft Defender XDR wybierz pozycję Ustawienia>Tożsamości.
W obszarze Powiadomienia wybierz pozycję Powiadomienia dziennika systemowego , a następnie przełącz opcję usługi Syslog .
Wybierz pozycję Konfiguruj usługę , aby otworzyć okienko usługi Syslog .
Wprowadź następujące szczegóły:
- Czujnik: wybierz czujnik, który chcesz wysyłać powiadomienia do serwera Syslog
- Punkt końcowy usługi i port: wprowadź adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) dla serwera Syslog, a następnie wprowadź numer portu. Można skonfigurować tylko jeden punkt końcowy dziennika systemu.
- Transport: wybierz protokół transportowy (TCP lub UDP).
- Format: wybierz format (RFC 3164 lub RFC 5424).
Wybierz pozycję Wyślij testowe powiadomienie SIEM, a następnie sprawdź, czy komunikat został odebrany w rozwiązaniu infrastruktury Syslog.
Po potwierdzeniu, że test działa, wybierz pozycję Zapisz.
Po skonfigurowaniu usługi Syslog wybierz typy powiadomień do wysłania na serwer Syslog, w tym zawsze:
- Wykryto nowy alert zabezpieczeń
- Istniejący alert zabezpieczeń jest aktualizowany
- Wykryto nowy problem z kondycją
Porada
Podczas pracy z dziennikiem systemowym w trybie TLS należy zainstalować wymagane certyfikaty na wyznaczonym czujniku.
Tworzenie skryptów automatyzacji dla dzienników SIEM usługi Defender for Identity
Jeśli tworzysz skrypty automatyzacji dla dzienników SIEM usługi Defender for Identity, zalecamy zidentyfikowanie typu alertu przy użyciu pola externalId zamiast używania nazwy alertu.
Nazwy alertów mogą być czasami modyfikowane, ale identyfikator externalId każdego alertu jest trwały. Aby uzyskać więcej informacji, zobacz Defender for Identity SIEM log reference (Dokumentacja dziennika SIEM usługi Defender for Identity).
Zawartość pokrewna
Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.