Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Huomautus
Tätä ominaisuutta tukee tällä hetkellä vain Defender for Identity -tunnistimen versio 2.x.
Microsoft Defender for Identity ilmoittaa kunto- ja suojaushälytyksistä joko sähköposti-ilmoituksilla tai Syslog-palvelimelle.
Tässä artikkelissa kuvataan, miten määritetään Defender for Identity -ilmoitukset niin, että olet tietoinen havaituista terveysongelmista tai suojaushälytyksistä.
Vihje
Sähköposti- tai Syslog-ilmoitusten lisäksi suosittelemme, että SOC-järjestelmänvalvojat tarkastelevat kaikkia ilmoituksia yhdessä portaalissa Microsoft Sentinel. Lisätietoja on artikkelissa Microsoft Defender XDR integrointi Microsoft Sentinel kanssa. Jos haluat integroida muita SIEM-työkaluja, katso siem-työkalujen integrointi Microsoft Defender XDR kanssa.
Sähköposti-ilmoitusten määrittäminen
Tässä osiossa kuvataan, miten määritetään sähköposti-ilmoitukset Defenderin käyttäjätietojen kunto-ongelmille.
Valitse Microsoft Defender XDRAsetukset-käyttäjätiedot>.
Valitse Ilmoitukset-kohdassaKunto-ongelmien ilmoitukset.
Kirjoita Lisää vastaanottaja -sähköpostiviestiin sähköpostiosoite, johon haluat vastaanottaa sähköposti-ilmoituksia, ja valitse + Lisää.
Aina kun Defender for Identity havaitsee kunto-ongelman, määritetyt vastaanottajat saavat sähköposti-ilmoituksen, jossa on tiedot ja linkki Microsoft Defender XDR lisätietoja.
Huomautus
Jos haluat saada sähköposti-ilmoituksia tapauksista, käytä Sähköposti-ilmoitukset-sivua kohdassa Defender XDR Asetukset uusille ja olemassa oleville ilmoitussäännöille. Lisätietoja.
Syslog-ilmoitusten määrittäminen
Tässä osiossa kuvataan, miten määritetään Defender for Identity lähettämään kunto- ja suojaustapahtumia Syslog-palvelimeen määritetyn tunnistimen kautta.
Tapahtumia ei lähetetä suoraan Defender for Identity -palvelusta Syslog-palvelimeen, vaan vain tunnistimen kautta.
Syslog-ilmoitusten määrittäminen:
Valitse Microsoft Defender XDRAsetukset-käyttäjätiedot>.
Valitse Ilmoitukset-kohdassaSyslog-ilmoitukset ja valitse sitten Syslog-palveluvaihtoehto .
Avaa Syslog-palveluruutu valitsemalla Määritä palvelu.
Anna seuraavat tiedot:
- Tunnistin: Valitse tunnistin, jonka haluat lähettää ilmoitukset Syslog-palvelimelle.
- Palvelun päätepiste ja portti: Anna Syslog-palvelimen IP-osoite tai täydellinen toimialueen nimi (FQDN) ja kirjoita sitten portin numero. Voit määrittää vain yhden Syslog-päätepisteen.
- Siirto: Valitse Transport-protokolla (TCP tai UDP).
- Muoto: Valitse muoto (RFC 3164 tai RFC 5424).
Valitse Lähetä testi-SIEM-ilmoitus ja varmista sitten, että viesti on vastaanotettu Syslog-infrastruktuuriratkaisussasi.
Kun olet vahvistanut testin toimivan, valitse Tallenna.
Kun olet määrittänut Syslog-palvelun, valitse Syslog-palvelimeen lähetttävien ilmoitusten tyypit, mukaan lukien milloin:
- Uusi suojaushälytys havaitaan
- Aiemmin luotu suojaushälytys päivitetään
- Uusi kunto-ongelma havaitaan
Vihje
Kun käytät Syslogia TLS-tilassa, muista asentaa tarvittavat varmenteet määritettyyn tunnistimeen.
Automaatiokomentosarjojen luominen Defenderille käyttäjätietojen SIEM-lokeille
Jos olet luomassa automaatiokomentosarjoja Defender for Identity SIEM -lokeille, suosittelemme, että käytät externalId-kenttää ilmoitustyypin tunnistamiseen hälytyksen nimen käyttämisen sijaan.
Vaikka ilmoitusten nimiä voidaan toisinaan muokata, jokaisen hälytyksen ulkoinen tunnus on pysyvä. Lisätietoja on kohdassa Defender for Identity SIEM -lokiviittaus.
Aiheeseen liittyvä sisältö
Lisätietoja on kohdassa Tapahtumakokoelman määrittäminen.