Defender for Identity-meddelanden i Microsoft Defender XDR
Microsoft Defender for Identity tillhandahåller meddelanden om hälsoproblem och säkerhetsaviseringar, antingen via e-postaviseringar eller till en Syslog-server.
Den här artikeln beskriver hur du konfigurerar Defender for Identity-meddelanden så att du är medveten om eventuella hälsoproblem eller säkerhetsaviseringar som identifieras.
Tips
Förutom e-post- eller Syslog-meddelanden rekommenderar vi att SOC-administratörer använder Microsoft Sentinel för att visa alla aviseringar i en enda portal. Mer information finns i Microsoft Defender XDR integrering med Microsoft Sentinel. Information om hur du integrerar andra SIEM-verktyg finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.
Konfigurera e-postaviseringar
I det här avsnittet beskrivs hur du konfigurerar e-postaviseringar för problem med defender för identitetshälsa eller säkerhetsaviseringar.
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Hälsoproblemmeddelanden eller Aviseringsaviseringar efter behov.
I Lägg till e-postadress för mottagare anger du den e-postadress (e-postadress) där du vill ta emot e-postaviseringar och väljer + Lägg till.
När Defender för identitet identifierar ett hälsoproblem eller en säkerhetsavisering får konfigurerade mottagare ett e-postmeddelande med informationen, med en länk till Microsoft Defender XDR för mer information.
Obs!
Aviseringssidan kommer att vara inaktuell senast den 15 januari 2025. Använd sidan "Email meddelanden" under Defender XDR inställningar för nya och befintliga aviseringsregler. Läs mer
Konfigurera Syslog-meddelanden
I det här avsnittet beskrivs hur du konfigurerar Defender för identitet för att skicka hälsoproblem och säkerhetshändelser till en Syslog-server via en konfigurerad sensor.
Händelser skickas inte direkt från Defender for Identity-tjänsten till Syslog-servern, utan bara via sensorn.
Så här konfigurerar du Syslog-meddelanden:
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Syslog-meddelanden och sedan på alternativet Syslog-tjänst .
Välj Konfigurera tjänst för att öppna fönstret Syslog-tjänst .
Ange följande information:
- Sensor: Välj den sensor som du vill skicka meddelanden till Syslog-servern
- Tjänstslutpunkt och port: Ange IP-adressen eller det fullständiga domännamnet (FQDN) för Syslog-servern och ange sedan portnumret. Du kan bara konfigurera en Syslog-slutpunkt.
- Transport: Välj transportprotokollet (TCP eller UDP).
- Format: Välj format (RFC 3164 eller RFC 5424).
Välj Skicka SIEM-testavisering och kontrollera sedan att meddelandet tas emot i din Syslog-infrastrukturlösning.
När du har bekräftat att testet fungerar väljer du Spara.
När du har konfigurerat Syslog-tjänsten väljer du de typer av meddelanden som ska skickas till Syslog-servern, inklusive när:
- En ny säkerhetsavisering identifieras
- En befintlig säkerhetsavisering uppdateras
- Ett nytt hälsoproblem har identifierats
Tips
När du arbetar med Syslog i TLS-läge måste du installera de certifikat som krävs på den avsedda sensorn.
Skapa automatiseringsskript för Defender for Identity SIEM-loggar
Om du skapar automationsskript för DEFENDER for Identity SIEM-loggar rekommenderar vi att du använder fältet externalId för att identifiera aviseringstypen i stället för att använda aviseringsnamnet.
Även om aviseringsnamn ibland kan ändras är externalId för varje avisering permanent. Mer information finns i SIEM-loggreferens för Defender for Identity.
Relaterat innehåll
Mer information finns i Konfigurera händelsesamling.