Поделиться через


Уведомления Defender для удостоверений в XDR в Microsoft Defender

Microsoft Defender для удостоверений предоставляет уведомления о проблемах работоспособности и оповещениях системы безопасности с помощью Уведомления по электронной почте или сервера Системного журнала.

В этой статье описывается, как настроить уведомления Defender для удостоверений, чтобы вы знали о каких-либо проблемах работоспособности или обнаруженных оповещениях системы безопасности.

Совет

Помимо уведомлений электронной почты или системного журнала, мы рекомендуем администраторам SOC использовать Microsoft Sentinel для просмотра всех оповещений на одном портале. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel. Сведения об интеграции других средств SIEM см. в статье "Интеграция средств SIEM с XDR в Microsoft Defender".

Настройка уведомлений по электронной почте

В этом разделе описывается настройка Уведомления по электронной почте для проблем работоспособности удостоверений Defender для удостоверений или оповещений системы безопасности.

  1. В Microsoft Defender XDR выберите параметры>удостоверений.

  2. В разделе "Уведомления" выберите уведомления о проблемах работоспособности или уведомления оповещений по мере необходимости.

  3. В поле "Добавление получателя" введите адреса электронной почты, в которых вы хотите получить Уведомления по электронной почте, и нажмите кнопку +Добавить.

Каждый раз, когда Defender для удостоверений обнаруживает проблему работоспособности или оповещение системы безопасности, настроенные получатели получают уведомление по электронной почте с подробными сведениями с ссылкой на XDR в Microsoft Defender для получения дополнительных сведений.

Примечание.

Страница уведомлений об оповещениях будет нерекомендуема к 15 января 2025 г. Используйте страницу "Уведомления по электронной почте" в разделе "Параметры XDR Защитника" для новых и существующих правил уведомлений. Подробнее

Настройка уведомлений системного журнала

В этом разделе описывается настройка Defender для удостоверений для отправки проблем работоспособности и событий безопасности на сервер Системного журнала с помощью настроенного датчика.

События не отправляются из службы Defender для удостоверений непосредственно на сервер Syslog, но только через датчик.

Чтобы настроить уведомления системного журнала, выполните приведенные действия.

  1. В Microsoft Defender XDR выберите параметры>удостоверений.

  2. В разделе "Уведомления" выберите уведомления системного журнала, а затем установите переключатель в службе Системного журнала.

  3. Выберите "Настройка службы ", чтобы открыть область службы Системного журнала.

  4. Введите следующие сведения:

    • Датчик: выберите датчик, который вы хотите отправить уведомления на сервер Syslog
    • Конечная точка службы и порт. Введите IP-адрес или полное доменное имя (FQDN) для сервера системного журнала, а затем введите номер порта. Можно настроить только одну конечную точку системного журнала.
    • Транспорт: выберите протокол транспорта (TCP или UDP).
    • Формат: выберите формат (RFC 3164 или RFC 5424).
  5. Выберите " Отправить тестовое уведомление SIEM", а затем убедитесь, что сообщение получено в решении инфраструктуры Системного журнала.

  6. После подтверждения работы теста нажмите кнопку "Сохранить".

  7. После настройки службы Системного журнала выберите типы уведомлений для отправки на сервер Syslog, включая каждый раз:

    • Обнаружено новое оповещение системы безопасности
    • Обновление существующего оповещения системы безопасности
    • Обнаружена новая проблема работоспособности

Совет

При работе с системным журналом в режиме TLS обязательно установите необходимые сертификаты на указанном датчике.

Создание скриптов автоматизации для журналов SIEM в Defender для идентификации

Если вы создаете сценарии автоматизации для журналов SIEM Defender для удостоверений, рекомендуется использовать поле externalId , чтобы определить тип оповещения вместо имени оповещения.

Хотя имена оповещений иногда могут быть изменены, внешний идентификатор каждого оповещения является постоянным. Дополнительные сведения см . в справочнике по журналам Defender для удостоверений SIEM.

Дополнительные сведения см. в разделе "Настройка коллекции событий".