Dela via


Defender for Identity-meddelanden i Microsoft Defender XDR

Microsoft Defender for Identity tillhandahåller meddelanden om hälsoproblem och säkerhetsaviseringar, antingen via e-postaviseringar eller till en Syslog-server.

Den här artikeln beskriver hur du konfigurerar Defender for Identity-meddelanden så att du är medveten om eventuella hälsoproblem eller säkerhetsaviseringar som identifieras.

Tips

Förutom e-post- eller Syslog-meddelanden rekommenderar vi att SOC-administratörer använder Microsoft Sentinel för att visa alla aviseringar i en enda portal. Mer information finns i Microsoft Defender XDR integrering med Microsoft Sentinel. Information om hur du integrerar andra SIEM-verktyg finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.

Konfigurera e-postaviseringar

I det här avsnittet beskrivs hur du konfigurerar e-postaviseringar för problem med defender för identitetshälsa.

  1. I Microsoft Defender XDR väljer du Inställningar>Identiteter.

  2. Under Meddelanden väljer du Meddelanden om hälsoproblem.

  3. I Lägg till e-postadress för mottagare anger du den e-postadress (e-postadress) där du vill ta emot e-postaviseringar och väljer + Lägg till.

När Defender för identitet identifierar ett hälsoproblem får konfigurerade mottagare ett e-postmeddelande med informationen, med en länk till Microsoft Defender XDR för mer information.

Obs!

Om du vill ta emot e-postaviseringar om incidenter använder du sidan Email meddelanden under Defender XDR Inställningar för nya och befintliga aviseringsregler. Mer information.

Konfigurera Syslog-meddelanden

I det här avsnittet beskrivs hur du konfigurerar Defender för identitet för att skicka hälsoproblem och säkerhetshändelser till en Syslog-server via en konfigurerad sensor.

Händelser skickas inte direkt från Defender for Identity-tjänsten till Syslog-servern, utan bara via sensorn.

Så här konfigurerar du Syslog-meddelanden:

  1. I Microsoft Defender XDR väljer du Inställningar>Identiteter.

  2. Under Meddelanden väljer du Syslog-meddelanden och sedan på alternativet Syslog-tjänst .

  3. Välj Konfigurera tjänst för att öppna fönstret Syslog-tjänst .

  4. Ange följande information:

    • Sensor: Välj den sensor som du vill skicka meddelanden till Syslog-servern.
    • Tjänstslutpunkt och port: Ange IP-adressen eller det fullständiga domännamnet (FQDN) för Syslog-servern och ange sedan portnumret. Du kan bara konfigurera en Syslog-slutpunkt.
    • Transport: Välj transportprotokollet (TCP eller UDP).
    • Format: Välj format (RFC 3164 eller RFC 5424).
  5. Välj Skicka SIEM-testavisering och kontrollera sedan att meddelandet tas emot i din Syslog-infrastrukturlösning.

  6. När du har bekräftat att testet fungerar väljer du Spara.

  7. När du har konfigurerat Syslog-tjänsten väljer du de typer av meddelanden som ska skickas till Syslog-servern, inklusive när:

    • En ny säkerhetsavisering identifieras
    • En befintlig säkerhetsavisering uppdateras
    • Ett nytt hälsoproblem har identifierats

Tips

När du arbetar med Syslog i TLS-läge måste du installera de certifikat som krävs på den avsedda sensorn.

Skapa automatiseringsskript för Defender for Identity SIEM-loggar

Om du skapar automationsskript för DEFENDER for Identity SIEM-loggar rekommenderar vi att du använder fältet externalId för att identifiera aviseringstypen i stället för att använda aviseringsnamnet.

Även om aviseringsnamn ibland kan ändras är externalId för varje avisering permanent. Mer information finns i SIEM-loggreferens för Defender for Identity.

Mer information finns i Konfigurera händelsesamling.