Udostępnij za pośrednictwem

Powiadomienia usługi Defender for Identity w usłudze Microsoft Defender XDR

  • Artykuł

Usługa Microsoft Defender for Identity udostępnia powiadomienia dotyczące problemów z kondycją i alertów zabezpieczeń za pośrednictwem powiadomień e-mail lub serwera Syslog.

W tym artykule opisano sposób konfigurowania powiadomień usługi Defender for Identity, aby mieć świadomość wykrytych problemów z kondycją lub alertów zabezpieczeń.

Napiwek

Oprócz powiadomień e-mail lub syslog zaleca się, aby administratorzy SOC używali usługi Microsoft Sentinel do wyświetlania wszystkich alertów w jednym portalu. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel. Aby zintegrować inne narzędzia SIEM, zobacz Integrowanie narzędzi SIEM z usługą Microsoft Defender XDR.

Konfigurowanie powiadomień e-mail

W tej sekcji opisano sposób konfigurowania powiadomień e-mail dotyczących problemów z kondycją usługi Defender for Identity lub alertów zabezpieczeń.

  1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Dentities.

  2. W obszarze Powiadomienia wybierz pozycję Powiadomienia o problemach z kondycją lub Powiadomienia o alertach zgodnie z potrzebami.

  3. W polu Dodaj adres e-mail adresata wprowadź adresy e-mail, na których chcesz otrzymywać powiadomienia e-mail, a następnie wybierz pozycję + Dodaj.

Za każdym razem, gdy usługa Defender for Identity wykryje problem z kondycją lub alert zabezpieczeń, skonfigurowani adresaci otrzymają powiadomienie e-mail ze szczegółami z linkiem do usługi Microsoft Defender XDR, aby uzyskać więcej szczegółów.

Konfigurowanie powiadomień dziennika systemowego

W tej sekcji opisano sposób konfigurowania usługi Defender for Identity w celu wysyłania problemów z kondycją i zdarzeń zabezpieczeń do serwera Syslog za pośrednictwem skonfigurowanego czujnika.

Zdarzenia nie są wysyłane z usługi Defender for Identity bezpośrednio do serwera Syslog, ale tylko za pośrednictwem czujnika.

Aby skonfigurować powiadomienia dziennika systemowego:

  1. W usłudze Microsoft Defender XDR wybierz pozycję Ustawienia> Dentities.

  2. W obszarze Powiadomienia wybierz pozycję Powiadomienia dziennika systemowego, a następnie przełącz opcję Usługi Syslog.

  3. Wybierz pozycję Konfiguruj usługę, aby otworzyć okienko usługi Syslog.

  4. Wprowadź następujące informacje:

    • Czujnik: wybierz czujnik, który chcesz wysłać powiadomienia do serwera Syslog
    • Punkt końcowy usługi i port: wprowadź adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) dla serwera Syslog, a następnie wprowadź numer portu. Można skonfigurować tylko jeden punkt końcowy dziennika systemu.
    • Transport: wybierz protokół transportowy (TCP lub UDP).
    • Format: wybierz format (RFC 3164 lub RFC 5424).

  5. Wybierz pozycję Wyślij testowe powiadomienie SIEM, a następnie sprawdź, czy komunikat został odebrany w rozwiązaniu infrastruktury syslog.

  6. Po potwierdzeniu, że test działa, wybierz pozycję Zapisz.

  7. Po skonfigurowaniu usługi Syslog wybierz typy powiadomień, które mają być wysyłane do serwera Syslog, w tym zawsze:

    • Wykryto nowy alert zabezpieczeń
    • Zaktualizowano istniejący alert zabezpieczeń
    • Wykryto nowy problem z kondycją

Napiwek

Podczas pracy z dziennikiem systemowym w trybie TLS upewnij się, że zainstalowano wymagane certyfikaty na wyznaczonym czujniku.

Tworzenie skryptów automatyzacji dla dzienników SIEM usługi Defender for Identity

Jeśli tworzysz skrypty automatyzacji dla dzienników SIEM usługi Defender for Identity, zalecamy użycie pola externalId w celu zidentyfikowania typu alertu zamiast używania nazwy alertu.

Chociaż nazwy alertów mogą być czasami modyfikowane, identyfikator externalId każdego alertu jest trwały. Aby uzyskać więcej informacji, zobacz Defender for Identity SIEM log reference (Dokumentacja dziennika SIEM usługi Defender for Identity).

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania zdarzeń.