Pemberitahuan Pertahanan untuk Identitas di Pertahanan Microsoft XDR

  • Artikel

Microsoft Defender untuk Identitas menyediakan pemberitahuan untuk masalah kesehatan dan pemberitahuan keamanan, baik melalui pemberitahuan email atau ke server Syslog.

Artikel ini menjelaskan cara mengonfigurasi pemberitahuan Defender for Identity sehingga Anda mengetahui masalah kesehatan atau pemberitahuan keamanan yang terdeteksi.

Tip

Selain pemberitahuan email atau Syslog, sebaiknya admin SOC menggunakan Microsoft Azure Sentinel untuk melihat semua pemberitahuan dalam satu portal. Untuk informasi selengkapnya, lihat Integrasi Microsoft Defender XDR dengan Microsoft Sentinel. Untuk mengintegrasikan alat SIEM lainnya, lihat Mengintegrasikan alat SIEM Anda dengan Microsoft Defender XDR.

Mengonfigurasi pemberitahuan email

Bagian ini menjelaskan cara mengonfigurasi pemberitahuan email untuk masalah kesehatan Defender for Identity atau pemberitahuan keamanan.

  1. Di Microsoft Defender XDR, pilih Pengaturan> Identities.

  2. Di bawah Pemberitahuan, pilih Pemberitahuan masalah kesehatan atau Pemberitahuan pemberitahuan sesuai kebutuhan.

  3. Di tambahkan email penerima, masukkan alamat email tempat Anda ingin menerima pemberitahuan email, dan pilih + Tambahkan.

Setiap kali Pertahanan untuk Identitas mendeteksi masalah kesehatan atau pemberitahuan keamanan, penerima yang dikonfigurasi menerima pemberitahuan email dengan detail, dengan tautan ke Pertahanan Microsoft XDR untuk detail selengkapnya.

Mengonfigurasi pemberitahuan Syslog

Bagian ini menjelaskan cara mengonfigurasi Defender for Identity untuk mengirim masalah kesehatan dan peristiwa keamanan ke server Syslog melalui sensor yang dikonfigurasi.

Peristiwa tidak dikirim dari layanan Defender for Identity ke server Syslog Anda secara langsung, tetapi hanya melalui sensor.

Untuk mengonfigurasi pemberitahuan Syslog:

  1. Di Microsoft Defender XDR, pilih Pengaturan> Identities.

  2. Di bawah Pemberitahuan, pilih Pemberitahuan Syslog lalu alihkan pada opsi layanan Syslog.

  3. Pilih Konfigurasikan layanan untuk membuka panel layanan Syslog.

  4. Masukkan rincian berikut:

    • Sensor: Pilih sensor yang ingin Anda kirimi pemberitahuan ke server Syslog
    • Titik akhir layanan dan Port: Masukkan alamat IP atau nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk server Syslog, lalu masukkan nomor port. Anda hanya dapat mengonfigurasi satu titik akhir Syslog.
    • Transportasi: Pilih protokol Transportasi (TCP atau UDP).
    • Format: Pilih format (RFC 3164 atau RFC 5424).

  5. Pilih Kirim pemberitahuan SIEM uji lalu verifikasi pesan diterima di solusi infrastruktur Syslog Anda.

  6. Setelah Anda mengonfirmasi bahwa pengujian berfungsi, pilih Simpan.

  7. Setelah mengonfigurasi layanan Syslog, pilih jenis pemberitahuan yang akan dikirim ke server Syslog Anda, termasuk kapan pun:

    • Pemberitahuan keamanan baru terdeteksi
    • Pemberitahuan keamanan yang ada diperbarui
    • Masalah kesehatan baru terdeteksi

Tip

Saat bekerja dengan Syslog dalam mode TLS, pastikan untuk menginstal sertifikat yang diperlukan pada sensor yang ditunjuk.

Membuat skrip otomatisasi untuk log Defender for Identity SIEM

Jika Anda membuat skrip otomatisasi untuk log Defender for Identity SIEM, sebaiknya gunakan bidang externalId untuk mengidentifikasi jenis pemberitahuan alih-alih menggunakan nama pemberitahuan.

Meskipun nama pemberitahuan terkadang dapat dimodifikasi, externalId dari setiap pemberitahuan bersifat permanen. Untuk informasi selengkapnya, lihat Referensi log Defender for Identity SIEM.

Konten terkait

Untuk informasi selengkapnya, lihat Mengonfigurasi kumpulan peristiwa.