A Defender for Identity értesítései a Microsoft Defender XDR-ben

  • Cikk

A Microsoft Defender for Identity értesítéseket biztosít az állapotproblémákról és a biztonsági riasztásokról e-mailben vagy egy Syslog-kiszolgálón.

Ez a cikk bemutatja, hogyan konfigurálhatja a Defender for Identity-értesítéseket, hogy tisztában legyen az észlelt állapotproblémákkal vagy biztonsági riasztásokkal.

Tipp.

Az e-mail- vagy Syslog-értesítések mellett azt javasoljuk, hogy az SOC-rendszergazdák a Microsoft Sentinel használatával tekintsék meg az összes riasztást egyetlen portálon. További információ: Microsoft Defender XDR-integráció a Microsoft Sentinellel. Más SIEM-eszközök integrálásához lásd : SIEM-eszközök integrálása a Microsoft Defender XDR-sel.

Configure email notifications

Ez a szakasz azt ismerteti, hogyan konfigurálhatja az e-mail-értesítéseket a Defender for Identity állapotproblémáihoz vagy biztonsági riasztásaihoz.

  1. A Microsoft Defender XDR-ben válassza a Gépház> Adentitások lehetőséget.

  2. Az Értesítések területen válassza az Állapotproblémák vagy riasztási értesítések lehetőséget, ha szükséges.

  3. A Címzett hozzáadása e-mailben adja meg azt az e-mail-címet(ok), ahol e-mail-értesítéseket szeretne kapni, majd válassza a + Hozzáadás lehetőséget.

Amikor a Defender for Identity állapotproblémát vagy biztonsági riasztást észlel, a konfigurált címzettek e-mailben értesítést kapnak a részletekről, a további részletekért pedig a Microsoft Defender XDR-hez mutató hivatkozással.

Syslog-értesítések konfigurálása

Ez a szakasz azt ismerteti, hogyan konfigurálhatja a Defender for Identityet állapotproblémák és biztonsági események syslog-kiszolgálóra való küldésére egy konfigurált érzékelőn keresztül.

Az eseményeket a Rendszer nem küldi el közvetlenül a Syslog-kiszolgálóra a Defender for Identity szolgáltatásból, hanem csak az érzékelőn keresztül.

A Syslog-értesítések konfigurálása:

  1. A Microsoft Defender XDR-ben válassza a Gépház> Adentitások lehetőséget.

  2. Az Értesítések területen válassza a Syslog-értesítések lehetőséget, majd váltson a Syslog szolgáltatás beállítására.

  3. Válassza a Szolgáltatás konfigurálása lehetőséget a Syslog szolgáltatáspanel megnyitásához.

  4. Adja meg a következő adatokat:

    • Érzékelő: Válassza ki azt az érzékelőt, amelyet értesítéseket szeretne küldeni a Syslog-kiszolgálónak
    • Szolgáltatásvégpont és port: Adja meg a Syslog-kiszolgáló IP-címét vagy teljes tartománynevét (FQDN), majd adja meg a portszámot. Csak egy Syslog-végpontot konfigurálhat.
    • Átvitel: Válassza ki a transport protokollt (TCP vagy UDP).
    • Formátum: Válassza ki a formátumot (RFC 3164 vagy RFC 5424).

  5. Válassza a Teszt SIEM-értesítés küldése lehetőséget, majd ellenőrizze, hogy az üzenet megérkezett-e a Syslog-infrastruktúra-megoldásban.

  6. Ha meggyőződött arról, hogy a teszt működik, válassza a Mentés lehetőséget.

  7. A Syslog szolgáltatás konfigurálása után válassza ki a Syslog-kiszolgálónak küldendő értesítések típusait, beleértve az alábbi esetekben is:

    • A rendszer új biztonsági riasztást észlel
    • Egy meglévő biztonsági riasztás frissül
    • Új állapotproblémát észlel a rendszer

Tipp.

Ha TLS módban használja a Syslogot, mindenképpen telepítse a szükséges tanúsítványokat a kijelölt érzékelőre.

Automation-szkriptek létrehozása a Defender for Identity SIEM-naplókhoz

Ha automation-szkripteket hoz létre a Defender for Identity SIEM-naplókhoz, javasoljuk, hogy a riasztás neve helyett az externalId mezővel azonosítsa a riasztás típusát.

Bár a riasztások neve időnként módosítható, az egyes riasztások külső azonosítója állandó. További információ: Defender for Identity SIEM log reference.

Kapcsolódó tartalom

További információ: Eseménygyűjtemény konfigurálása.