Notificações do Defender para Identidade no Microsoft Defender XDR

O Microsoft Defender para Identidade fornece notificações para problemas de integridade e alertas de segurança, por email ou para um servidor de Syslog.

Este artigo descreve como configurar as notificações do Defender para Identidade para que você esteja ciente dos problemas de integridade ou alertas de segurança detectados.

Dica

Além das notificações por email ou Syslog, recomendamos que os administradores do SOC usem o Microsoft Sentinel para exibir todos os alertas em um único portal. Para obter mais informações, confira Integração do Microsoft Defender XDR com o Microsoft Sentinel. Para integrar outras ferramentas SIEM, consulte Integrar suas ferramentas SIEM com o Microsoft Defender XDR.

Configurar notificações por email

Esta seção descreve como configurar notificações por email para problemas de integridade ou alertas de segurança do Defender para Identidade.

1. No Microsoft Defender XDR, escolha Configurações>Identidades.

2. Em Notificações, selecione Notificações de problemas de integridade ou Notificações de alertas, conforme necessário.

3. Em Adicionar email de destinatário, insira o(s) endereço(s) de email em que deseja receber as notificações por email e escolha + Adicionar.

Sempre que o Defender para Identidade detectar um problema de integridade ou alerta de segurança, os destinatários configurados receberão uma notificação por email com os detalhes e um link para o Microsoft Defender XDR a fim de obter mais informações.

Configurar as notificações de Syslog

Esta seção descreve como configurar o Defender para Identidade para enviar problemas de integridade e eventos de segurança para um servidor de Syslog por meio de um sensor configurado.

Os eventos não são enviados do serviço do Defender para Identidade para o servidor de Syslog diretamente, mas apenas por meio do sensor.

Para configurar as notificações de Syslog:

1. No Microsoft Defender XDR, escolha Configurações>Identidades.

2. Em Notificações, selecione Notificações de Syslog e ative a opção Serviço de Syslog.

3. Selecione Configurar serviço para abrir o painel do Serviço de Syslog.

4. Insira os seguintes detalhes:

   • Sensor: selecione o sensor do qual enviar notificações para o servidor de Syslog
   • Ponto de extremidade de serviço e Porta: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor de Syslog e insira o número da porta. Você pode configurar apenas um ponto de extremidade do Syslog.
   • Transporte: selecione o protocolo de transporte (TCP ou UDP).
   • Formato: selecione o formato (RFC 3164 ou RFC 5424).

5. Selecione Enviar notificação de SIEM de teste e verifique se a mensagem foi recebida na solução de infraestrutura do Syslog.

6. Quando você confirmar que o teste funciona, selecione Salvar.

7. Depois de configurar o serviço Syslog, selecione os tipos de notificações a serem enviadas ao servidor de Syslog, incluindo nas seguintes situações:

   • Um novo alerta de segurança é detectado
   • Um alerta de segurança existente é atualizado
   • Um novo problema de integridade é detectado

Dica

Ao trabalhar com o Syslog no modo TLS, certifique-se de instalar os certificados necessários no sensor designado.

Criar scripts de automação para logs de SIEM do Defender para Identidade

Se você estiver criando scripts de automação para logs de SIEM do Defender para Identidade, recomendamos usar o campo externalId para identificar o tipo de alerta, em vez de usar o nome do alerta.

Embora os nomes de alerta possam ocasionalmente ser modificados, o externalId de cada alerta é permanente. Para obter mais informações, confira Referência do log de SIEM do Microsoft Defender para Identidade.

Conteúdo relacionado

Para obter mais informações, confira Configurar a coleta de eventos.