Microsoft Defender XDR Defender for Identity 알림

Microsoft Defender for Identity 메일 알림 통해 또는 Syslog 서버에 상태 문제 및 보안 경고에 대한 알림을 제공합니다.

이 문서에서는 검색된 상태 문제 또는 보안 경고를 인식할 수 있도록 Defender for Identity 알림을 구성하는 방법을 설명합니다.

팁

전자 메일 또는 Syslog 알림 외에도 SOC 관리자는 Microsoft Sentinel 사용하여 단일 포털에서 모든 경고를 보는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel Microsoft Defender XDR 통합을 참조하세요. 다른 SIEM 도구를 통합하려면 SIEM 도구와 Microsoft Defender XDR 통합을 참조하세요.

메일 알림 구성

이 섹션에서는 Defender for Identity Health 문제 또는 보안 경고에 대한 메일 알림 구성하는 방법을 설명합니다.

1. Microsoft Defender XDR설정>ID를 선택합니다.

2. 알림에서 필요에 따라 상태 문제 알림 또는 경고 알림을 선택합니다.

3. 받는 사람 전자 메일 추가에서 메일 알림 받을 전자 메일 주소를 입력하고 + 추가를 선택합니다.

Defender for Identity가 상태 문제 또는 보안 경고를 검색할 때마다 구성된 수신자는 자세한 내용을 보려면 Microsoft Defender XDR 대한 링크와 함께 세부 정보가 포함된 이메일 알림을 받습니다.

참고

경고 알림 페이지는 2025년 1월 15일까지 더 이상 사용되지 않습니다. 새 알림 및 기존 알림 규칙에 대한 Defender XDR 설정에서 'Email 알림' 페이지를 사용하세요. 자세한 정보

Syslog 알림 구성

이 섹션에서는 구성된 센서를 통해 Syslog 서버에 상태 문제 및 보안 이벤트를 보내도록 Defender for Identity를 구성하는 방법을 설명합니다.

이벤트는 Defender for Identity 서비스에서 Syslog 서버로 직접 전송되지 않고 센서를 통해서만 전송됩니다.

Syslog 알림을 구성하려면 다음을 수행합니다.

1. Microsoft Defender XDR설정>ID를 선택합니다.

2. 알림에서Syslog 알림을 선택한 다음 Syslog 서비스 옵션을 토글합니다.

3. 서비스 구성을 선택하여 Syslog 서비스 창을 엽니다.

4. 다음 세부 정보를 입력합니다.

   • 센서: Syslog 서버에 알림을 보낼 센서 선택
   • 서비스 엔드포인트 및 포트: Syslog 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력한 다음 포트 번호를 입력합니다. 하나의 Syslog 엔드포인트만 구성할 수 있습니다.
   • 전송: 전송 프로토콜(TCP 또는 UDP)을 선택합니다.
   • 형식: 형식(RFC 3164 또는 RFC 5424)을 선택합니다.

5. 테스트 SIEM 알림 보내기를 선택한 다음 Syslog 인프라 솔루션에서 메시지가 수신되었는지 확인합니다.

6. 테스트가 작동하는지 확인했으면 저장을 선택합니다.

7. Syslog 서비스를 구성한 후 다음을 포함하여 Syslog 서버에 보낼 알림 유형을 선택합니다.

   • 새 보안 경고가 검색됨
   • 기존 보안 경고가 업데이트됨
   • 새 상태 문제가 검색됨

팁

TLS 모드에서 Syslog를 사용하는 경우 지정된 센서에 필요한 인증서를 설치해야 합니다.

Defender for Identity SIEM 로그에 대한 자동화 스크립트 만들기

Defender for Identity SIEM 로그에 대한 자동화 스크립트를 만드는 경우 externalId 필드를 사용하여 경고 이름을 사용하는 대신 경고 유형을 식별하는 것이 좋습니다.

경고 이름은 때때로 수정될 수 있지만 각 경고의 externalId 는 영구적입니다. 자세한 내용은 Defender for Identity SIEM 로그 참조를 참조하세요.

관련 콘텐츠

자세한 내용은 이벤트 컬렉션 구성을 참조하세요.