Del via


Defender for Identity-meddelelser i Microsoft Defender XDR

Microsoft Defender for Identity leverer meddelelser om tilstandsproblemer og sikkerhedsbeskeder, enten via mailmeddelelser eller til en Syslog-server.

I denne artikel beskrives det, hvordan du konfigurerer Defender for Identity-meddelelser, så du er opmærksom på eventuelle tilstandsproblemer eller sikkerhedsbeskeder, der registreres.

Tip

Ud over mail- eller Syslog-meddelelser anbefaler vi, at SOC-administratorer bruger Microsoft Sentinel til at få vist alle beskeder på en enkelt portal. Du kan få flere oplysninger under Microsoft Defender XDR integration med Microsoft Sentinel. Hvis du vil integrere andre SIEM-værktøjer, skal du se Integrer dine SIEM-værktøjer med Microsoft Defender XDR.

Konfigurer mailmeddelelser

I dette afsnit beskrives det, hvordan du konfigurerer mailmeddelelser for Problemer med identitetstilstand eller sikkerhedsbeskeder i Defender.

  1. Vælg Indstillinger>Identiteteri Microsoft Defender XDR.

  2. Under Meddelelser skal du vælge Meddelelser om tilstandsproblemer eller Beskeder efter behov.

  3. I Tilføj modtagermail skal du angive den eller de mailadresser, hvor du vil modtage mailmeddelelser, og vælge + Tilføj.

Når Defender for Identity registrerer et tilstandsproblem eller en sikkerhedsadvarsel, modtager konfigurerede modtagere en mail med oplysningerne med et link til Microsoft Defender XDR for at få flere oplysninger.

Bemærk!

Siden med beskeder om beskeder frarådes senest den 15. januar 2025. Brug siden "Mailmeddelelser" under Defender XDR indstillinger for nye og eksisterende regler for meddelelser. Få mere at vide

Konfigurer Syslog-meddelelser

I dette afsnit beskrives det, hvordan du konfigurerer Defender for Identity til at sende tilstandsproblemer og sikkerhedshændelser til en Syslog-server via en konfigureret sensor.

Hændelser sendes ikke direkte fra Defender for Identity-tjenesten til din Syslog-server, men kun via sensoren.

Sådan konfigurerer du Syslog-meddelelser:

  1. Vælg Indstillinger>Identiteteri Microsoft Defender XDR.

  2. Under Meddelelser skal du vælge Syslog-meddelelser og derefter skifte til indstillingen Syslog-tjeneste .

  3. Vælg Konfigurer tjeneste for at åbne ruden Syslog-tjeneste .

  4. Angiv følgende oplysninger:

    • Sensor: Vælg den sensor, du vil sende meddelelser til Syslog-serveren
    • Tjenesteslutpunkt og port: Angiv IP-adressen eller det fuldt kvalificerede domænenavn (FQDN) for Syslog-serveren, og angiv derefter portnummeret. Du kan kun konfigurere ét Syslog-slutpunkt.
    • Transport: Vælg transportprotokollen (TCP eller UDP).
    • Format: Vælg formatet (RFC 3164 eller RFC 5424).
  5. Vælg Send test-SIEM-meddelelse , og kontrollér derefter, at meddelelsen er modtaget i syslog-infrastrukturløsningen.

  6. Når du har bekræftet, at testen fungerer, skal du vælge Gem.

  7. Når du har konfigureret Syslog-tjenesten, skal du vælge de typer meddelelser, der skal sendes til Syslog-serveren, herunder når:

    • Der registreres en ny sikkerhedsadvarsel
    • En eksisterende sikkerhedsadvarsel opdateres
    • Der er registreret et nyt tilstandsproblem

Tip

Når du arbejder med Syslog i TLS-tilstand, skal du sørge for at installere de påkrævede certifikater på den angivne sensor.

Oprettelse af automatiseringsscripts til Defender for Identity SIEM-logge

Hvis du opretter automatiseringsscripts til Defender for Identity SIEM-logge, anbefaler vi, at du bruger feltet externalId til at identificere beskedtypen i stedet for at bruge beskednavnet.

Selvom beskednavne undertiden ændres, er externalId for hver besked permanent. Du kan finde flere oplysninger under Reference til SIEM-identitetslog.

Du kan få flere oplysninger under Konfigurer hændelsessamling.