Notifications Defender pour Identity dans Microsoft 365 Defender

Cet article explique comment utiliser des notifications Microsoft Defender pour Identity dans Microsoft 365 Defender.

Notifications sur les problèmes d’intégrité

Dans Microsoft 365 Defender, vous pouvez ajouter des destinataires pour les notifications par e-mail des problèmes d’intégrité dans Defender pour Identity.

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Sélectionnez Notifications relatives aux problèmes d’intégrité.

  3. Entrez l’adresse e-mail du destinataire. Sélectionnez Ajouter.

    Entrez l’adresse e-mail pour les problèmes d’intégrité.

  4. Lorsque Defender pour Identity détecte un problème d’intégrité, les destinataires reçoivent une notification par e-mail avec les détails.

    Exemple d’e-mail de problème d’intégrité.

    Notes

    L’e-mail fournit deux liens pour plus d’informations sur le problème. Vous pouvez accéder au Centre d’intégrité MDI ou au nouveau Centre d’intégrité dans M365D.

Notifications d’alerte

Dans Microsoft 365 Defender, vous pouvez ajouter des destinataires pour les notifications par e-mail des alertes détectées.

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Sélectionnez Notifications d’alerte.

  3. Entrez l’adresse e-mail du destinataire. Sélectionnez Ajouter.

    Entrez l’adresse e-mail pour les alertes détectées.

Notifications Syslog

Defender pour Identity peut vous avertir lorsqu’il détecte des activités suspectes en envoyant des alertes de sécurité et d’intégrité à votre serveur Syslog via un capteur nommé.

Notes

Pour savoir comment intégrer Defender pour Identity à Microsoft Sentinel, consultez Microsoft 365 Defender’intégration à Microsoft Sentinel.

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Sélectionnez notifications Syslog.

  3. Pour activer la notification syslog, définissez le bouton bascule du service Syslog sur la position activée .

    Activez le service syslog.

  4. Sélectionnez Configurer le service. Un volet s’ouvre dans lequel vous pouvez entrer les détails du service syslog.

    Entrez les détails du service syslog.

  5. Entrez les informations suivantes :

    • Capteur : dans la liste déroulante, choisissez le capteur qui enverra les alertes.
    • Point de terminaison de service et port : entrez l’adresse IP ou le nom de domaine complet (FQDN) du serveur syslog et spécifiez le numéro de port. Vous ne pouvez configurer qu’un seul point de terminaison Syslog.
    • Transport : sélectionnez le protocole de transport (TCP ou UDP).
    • Format : sélectionnez le format (RFC 3164 ou RFC 5424).
  6. Sélectionnez Envoyer une notification SIEM de test , puis vérifiez que le message est reçu dans votre solution d’infrastructure Syslog.

  7. Sélectionnez Enregistrer.

  8. Une fois que vous avez configuré le service Syslog, vous pouvez choisir les types de notifications (alertes ou problèmes d’intégrité) à envoyer à votre serveur Syslog.

    Service Syslog configuré.

Notes

  • Si vous envisagez de créer une automatisation ou des scripts pour les journaux SIEM Defender pour Identity, nous vous recommandons d’utiliser le champ externalId pour identifier le type d’alerte au lieu d’utiliser le nom de l’alerte à cet effet. Les noms d’alerte peuvent parfois être modifiés alors que l’externalId de chaque alerte est définitif. Pour plus d’informations, consultez informations de référence sur le journal SIEM Defender pour Identity.

  • Lorsque vous utilisez Syslog en mode TLS, veillez à installer les certificats requis sur le capteur désigné.

Voir aussi