Microsoft Defender XDR中的 Defender for Identity 通知

Microsoft Defender for Identity通过 电子邮件通知 或 Syslog 服务器提供运行状况问题和安全警报通知。

本文介绍如何配置 Defender for Identity 通知，以便了解检测到的任何运行状况问题或安全警报。

提示

除了电子邮件或 Syslog 通知，我们建议 SOC 管理员使用Microsoft Sentinel在单个门户中查看所有警报。 有关详细信息，请参阅Microsoft Defender XDR与 Microsoft Sentinel 集成。 若要集成其他 SIEM 工具，请参阅将 SIEM 工具与Microsoft Defender XDR集成。

配置电子邮件通知

本部分介绍如何为 Defender for Identity 运行状况问题或安全警报配置电子邮件通知。

1. 在“Microsoft Defender XDR”中，选择“设置>标识”。

2. 在 “通知”下，根据需要选择 “运行状况问题通知 ”或“ 警报通知 ”。

3. 在“添加收件人电子邮件”中，输入要接收电子邮件通知的电子邮件地址 (es) ，然后选择“+ 添加”。

每当 Defender for Identity 检测到运行状况问题或安全警报时，配置的收件人会收到一封电子邮件通知，其中包含详细信息以及指向Microsoft Defender XDR的链接，了解更多详细信息。

注意

警报通知 页面将于 2025 年 1 月 15 日弃用。 请使用新通知规则和现有通知规则Defender XDR设置下的“Email通知”页面。 了解更多

配置 Syslog 通知

本部分介绍如何将 Defender for Identity 配置为通过配置的传感器将运行状况问题和安全事件发送到 Syslog 服务器。

事件不会直接从 Defender for Identity 服务发送到 Syslog 服务器，而只能通过传感器发送。

配置 Syslog 通知：

1. 在“Microsoft Defender XDR”中，选择“设置>标识”。

2. 在 “通知”下，选择“ Syslog 通知 ”，然后切换“ Syslog 服务 ”选项。

3. 选择“ 配置服务 ”以打开 “Syslog 服务 ”窗格。

4. 输入以下详细信息：

   • 传感器：选择要向 Syslog 服务器发送通知的传感器
   • 服务终结点 和 端口：输入 Syslog 服务器的 IP 地址或完全限定的域名 (FQDN) ，然后输入端口号。 只能配置一个 Syslog 终结点。
   • 传输：选择传输协议 (TCP 或 UDP) 。
   • 格式： (RFC 3164 或 RFC 5424) 选择格式。

5. 选择“ 发送测试 SIEM 通知 ”，然后验证是否已在 Syslog 基础结构解决方案中收到消息。

6. 确认测试正常工作后，选择“ 保存”。

7. 配置 Syslog 服务后，选择要发送到 Syslog 服务器的通知类型，包括每当：

   • 检测到新的安全警报
   • 现有安全警报已更新
   • 检测到新的运行状况问题

提示

在 TLS 模式下使用 Syslog 时，请确保在指定的传感器上安装所需的证书。

为 Defender for Identity SIEM 日志创建自动化脚本

如果要为 Defender for Identity SIEM 日志创建自动化脚本，我们建议使用 externalId 字段来标识警报类型，而不是使用警报名称。

虽然有时可能会修改警报名称，但每个警报的 externalId 是永久性的。 有关详细信息，请参阅 Defender for Identity SIEM 日志参考。

相关内容

有关详细信息，请参阅 配置事件集合。