Notifiche di Defender per identità in Microsoft Defender XDR

Microsoft Defender per identità fornisce notifiche per problemi di integrità e avvisi di sicurezza, tramite notifiche tramite posta elettronica o a un server Syslog.

Questo articolo descrive come configurare le notifiche di Defender per identità in modo da conoscere eventuali problemi di integrità o avvisi di sicurezza rilevati.

Suggerimento

Oltre alle notifiche tramite posta elettronica o Syslog, è consigliabile che gli amministratori SOC usino Microsoft Sentinel per visualizzare tutti gli avvisi in un singolo portale. Per altre informazioni, vedere Integrazione di Microsoft Defender XDR con Microsoft Sentinel. Per integrare altri strumenti SIEM, vedere Integrare gli strumenti SIEM con Microsoft Defender XDR.

Configurare le notifiche di posta elettronica

Questa sezione descrive come configurare le notifiche di posta elettronica per i problemi di integrità di Defender per identità o gli avvisi di sicurezza.

1. In Microsoft Defender XDR selezionare Impostazioni>Identità.

2. In Notifiche selezionare Notifiche di integrità o Notifiche di avviso in base alle esigenze.

3. In Aggiungi messaggio di posta elettronica del destinatario immettere l'indirizzo di posta elettronica in cui si desidera ricevere notifiche tramite posta elettronica e selezionare + Aggiungi.

Ogni volta che Defender per identità rileva un problema di integrità o un avviso di sicurezza, i destinatari configurati ricevono una notifica tramite posta elettronica con i dettagli, con un collegamento a Microsoft Defender XDR per altri dettagli.

Nota

La pagina Delle notifiche di avviso sarà deprecata entro il 1° novembre 2024. Usare la pagina "Notifiche tramite posta elettronica" in Impostazioni XDR di Defender per le regole di notifica nuove ed esistenti. Ulteriori informazioni

Configurare le notifiche syslog

Questa sezione descrive come configurare Defender per identità per inviare problemi di integrità ed eventi di sicurezza a un server Syslog tramite un sensore configurato.

Gli eventi non vengono inviati direttamente dal servizio Defender per identità al server Syslog, ma solo tramite il sensore.

Per configurare le notifiche syslog:

1. In Microsoft Defender XDR selezionare Impostazioni>Identità.

2. In Notifiche selezionare Notifiche Syslog e quindi attivare o disattivare l'opzione del servizio Syslog.

3. Selezionare Configura servizio per aprire il riquadro del servizio Syslog.

4. Immetti i dettagli seguenti:

   • Sensore: selezionare il sensore che si vuole inviare notifiche al server Syslog
   • Endpoint servizio e porta: immettere l'indirizzo IP o il nome di dominio completo (FQDN) per il server Syslog e quindi immettere il numero di porta. È possibile configurare un solo endpoint Syslog.
   • Trasporto: selezionare il protocollo di trasporto (TCP o UDP).
   • Formato: selezionare il formato (RFC 3164 o RFC 5424).

5. Selezionare Invia notifica SIEM di test e quindi verificare che il messaggio venga ricevuto nella soluzione di infrastruttura Syslog.

6. Dopo aver confermato che il test funziona, selezionare Salva.

7. Dopo aver configurato il servizio Syslog, selezionare i tipi di notifiche da inviare al server Syslog, inclusi ogni volta che:

   • Viene rilevato un nuovo avviso di sicurezza
   • Viene aggiornato un avviso di sicurezza esistente
   • Viene rilevato un nuovo problema di integrità

Suggerimento

Quando si usa Syslog in modalità TLS, assicurarsi di installare i certificati necessari nel sensore designato.

Creazione di script di automazione per i log SIEM di Defender per identità

Se si creano script di automazione per i log SIEM di Defender per identità, è consigliabile usare il campo externalId per identificare il tipo di avviso anziché usare il nome dell'avviso.

Anche se i nomi degli avvisi possono essere occasionalmente modificati, l'externalId di ogni avviso è permanente. Per altre informazioni, vedere Informazioni di riferimento sui log SIEM di Defender per identità.

Contenuto correlato

Per altre informazioni, vedere Configurare la raccolta di eventi.