Defender for Identity-meddelanden i Microsoft Defender XDR
Microsoft Defender for Identity tillhandahåller meddelanden om hälsoproblem och säkerhetsaviseringar, antingen via e-postaviseringar eller till en Syslog-server.
Den här artikeln beskriver hur du konfigurerar Defender for Identity-meddelanden så att du är medveten om eventuella hälsoproblem eller säkerhetsaviseringar som identifieras.
Tips
Förutom e-post- eller Syslog-meddelanden rekommenderar vi att SOC-administratörer använder Microsoft Sentinel för att visa alla aviseringar i en enda portal. Mer information finns i Microsoft Defender XDR integrering med Microsoft Sentinel. Information om hur du integrerar andra SIEM-verktyg finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.
Konfigurera e-postaviseringar
I det här avsnittet beskrivs hur du konfigurerar e-postaviseringar för problem med defender för identitetshälsa.
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Meddelanden om hälsoproblem.
I Lägg till e-postadress för mottagare anger du den e-postadress (e-postadress) där du vill ta emot e-postaviseringar och väljer + Lägg till.
När Defender för identitet identifierar ett hälsoproblem får konfigurerade mottagare ett e-postmeddelande med informationen, med en länk till Microsoft Defender XDR för mer information.
Obs!
Om du vill ta emot e-postaviseringar om incidenter använder du sidan Email meddelanden under Defender XDR Inställningar för nya och befintliga aviseringsregler. Mer information.
Konfigurera Syslog-meddelanden
I det här avsnittet beskrivs hur du konfigurerar Defender för identitet för att skicka hälsoproblem och säkerhetshändelser till en Syslog-server via en konfigurerad sensor.
Händelser skickas inte direkt från Defender for Identity-tjänsten till Syslog-servern, utan bara via sensorn.
Så här konfigurerar du Syslog-meddelanden:
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Syslog-meddelanden och sedan på alternativet Syslog-tjänst .
Välj Konfigurera tjänst för att öppna fönstret Syslog-tjänst .
Ange följande information:
- Sensor: Välj den sensor som du vill skicka meddelanden till Syslog-servern.
- Tjänstslutpunkt och port: Ange IP-adressen eller det fullständiga domännamnet (FQDN) för Syslog-servern och ange sedan portnumret. Du kan bara konfigurera en Syslog-slutpunkt.
- Transport: Välj transportprotokollet (TCP eller UDP).
- Format: Välj format (RFC 3164 eller RFC 5424).
Välj Skicka SIEM-testavisering och kontrollera sedan att meddelandet tas emot i din Syslog-infrastrukturlösning.
När du har bekräftat att testet fungerar väljer du Spara.
När du har konfigurerat Syslog-tjänsten väljer du de typer av meddelanden som ska skickas till Syslog-servern, inklusive när:
- En ny säkerhetsavisering identifieras
- En befintlig säkerhetsavisering uppdateras
- Ett nytt hälsoproblem har identifierats
Tips
När du arbetar med Syslog i TLS-läge måste du installera de certifikat som krävs på den avsedda sensorn.
Skapa automatiseringsskript för Defender for Identity SIEM-loggar
Om du skapar automationsskript för DEFENDER for Identity SIEM-loggar rekommenderar vi att du använder fältet externalId för att identifiera aviseringstypen i stället för att använda aviseringsnamnet.
Även om aviseringsnamn ibland kan ändras är externalId för varje avisering permanent. Mer information finns i SIEM-loggreferens för Defender for Identity.
Relaterat innehåll
Mer information finns i Konfigurera händelsesamling.