Notifications Defender pour Identity dans Microsoft Defender XDR
Microsoft Defender pour Identity fournit des notifications pour les problèmes d’intégrité et les alertes de sécurité, via Notifications par e-mail ou vers un serveur Syslog.
Cet article explique comment configurer les notifications Defender pour Identity afin que vous soyez au courant des problèmes d’intégrité ou des alertes de sécurité détectés.
Conseil
En plus des notifications par e-mail ou Syslog, nous vous recommandons que les administrateurs SOC utilisent Microsoft Sentinel pour afficher toutes les alertes dans un seul portail. Pour plus d’informations, consultez l’intégration de Microsoft Defender XDR à Microsoft Sentinel. Pour intégrer d’autres outils SIEM, consultez Intégrer vos outils SIEM à Microsoft Defender XDR.
Configurer des notifications par e-mail
Cette section explique comment configurer Notifications par e-mail pour les problèmes d’intégrité ou les alertes de sécurité defender pour Identity.
Dans Microsoft Defender XDR, sélectionnez Paramètres> Identities.
Sous Notifications, sélectionnez Notifications relatives aux problèmes d’intégrité ou notifications d’alerte en fonction des besoins.
Dans l’e-mail Ajouter un destinataire, entrez la ou les adresses e-mail dans lesquelles vous souhaitez recevoir Notifications par e-mail, puis sélectionnez + Ajouter.
Chaque fois que Defender pour Identity détecte un problème d’intégrité ou une alerte de sécurité, les destinataires configurés reçoivent une notification par e-mail avec les détails, avec un lien vers Microsoft Defender XDR pour plus d’informations.
Configurer les notifications Syslog
Cette section explique comment configurer Defender pour Identity afin d’envoyer des problèmes d’intégrité et des événements de sécurité à un serveur Syslog via un capteur configuré.
Les événements ne sont pas envoyés du service Defender pour Identity directement à votre serveur Syslog, mais uniquement via le capteur.
Pour configurer les notifications Syslog :
Dans Microsoft Defender XDR, sélectionnez Paramètres> Identities.
Sous Notifications, sélectionnez Notifications Syslog, puis basculez sur l’option de service Syslog.
Sélectionnez Configurer le service pour ouvrir le volet de service Syslog.
Entrez les informations suivantes :
- Capteur : sélectionnez le capteur que vous souhaitez envoyer des notifications au serveur Syslog
- Point de terminaison de service et port : entrez l’adresse IP ou le nom de domaine complet (FQDN) du serveur Syslog, puis entrez le numéro de port. Vous ne pouvez configurer qu’un seul point de terminaison Syslog.
- Transport : sélectionnez le protocole de transport (TCP ou UDP).
- Format : sélectionnez le format (RFC 3164 ou RFC 5424).
Sélectionnez Envoyer une notification SIEM de test, puis vérifiez que le message est reçu dans votre solution d’infrastructure Syslog.
Lorsque vous avez confirmé que le test fonctionne, sélectionnez Enregistrer.
Après avoir configuré le service Syslog, sélectionnez les types de notifications à envoyer à votre serveur Syslog, y compris chaque fois :
- Une nouvelle alerte de sécurité est détectée
- Une alerte de sécurité existante est mise à jour
- Un nouveau problème d’intégrité est détecté
Conseil
Lorsque vous utilisez Syslog en mode TLS, veillez à installer les certificats requis sur le capteur désigné.
Création de scripts d’automatisation pour les journaux SIEM Defender pour Identity
Si vous créez des scripts d’automatisation pour les journaux SIEM Defender pour Identity, nous vous recommandons d’utiliser le champ externalId pour identifier le type d’alerte au lieu d’utiliser le nom de l’alerte.
Bien que les noms d’alerte puissent parfois être modifiés, l’externalId de chaque alerte est permanent. Pour plus d’informations, consultez la référence du journal SIEM Defender pour Identity.
Contenu connexe
Pour plus d’informations, consultez Configurer la collection d’événements.