Dela via

Defender for Identity-meddelanden i Microsoft Defender XDR

  • Artikel

Microsoft Defender för identitet tillhandahåller meddelanden om hälsoproblem och säkerhetsaviseringar, antingen via e-postaviseringar eller till en Syslog-server.

I den här artikeln beskrivs hur du konfigurerar Defender för identitetsmeddelanden så att du känner till eventuella hälsoproblem eller säkerhetsaviseringar som har identifierats.

Dricks

Förutom e-post- eller Syslog-meddelanden rekommenderar vi att SOC-administratörer använder Microsoft Sentinel för att visa alla aviseringar i en enda portal. Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel. Information om hur du integrerar andra SIEM-verktyg finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.

Konfigurera e-postaviseringar

I det här avsnittet beskrivs hur du konfigurerar e-postaviseringar för Problem med identitetshälsa eller säkerhetsaviseringar för Defender för identiteter.

  1. I Microsoft Defender XDR väljer du Inställningar> Identiteter.

  2. Under Meddelanden väljer du Meddelanden om hälsotillståndsproblem eller Aviseringsaviseringar efter behov.

  3. I e-postmeddelandet Lägg till mottagare anger du den e-postadress (e-postadress) där du vill ta emot e-postmeddelanden och väljer + Lägg till.

När Defender för identitet identifierar ett hälsoproblem eller en säkerhetsavisering får konfigurerade mottagare ett e-postmeddelande med informationen, med en länk till Microsoft Defender XDR för mer information.

Konfigurera Syslog-meddelanden

I det här avsnittet beskrivs hur du konfigurerar Defender för identitet för att skicka hälsoproblem och säkerhetshändelser till en Syslog-server via en konfigurerad sensor.

Händelser skickas inte direkt från Defender for Identity-tjänsten till Syslog-servern, utan bara via sensorn.

Så här konfigurerar du Syslog-meddelanden:

  1. I Microsoft Defender XDR väljer du Inställningar> Identiteter.

  2. Under Meddelanden väljer du Syslog-meddelanden och sedan på alternativet Syslog-tjänst .

  3. Välj Konfigurera tjänst för att öppna fönstret Syslog-tjänst .

  4. Ange följande detaljerad information:

    • Sensor: Välj den sensor som du vill skicka meddelanden till Syslog-servern
    • Tjänstslutpunkt och port: Ange IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för Syslog-servern och ange sedan portnumret. Du kan bara konfigurera en Syslog-slutpunkt.
    • Transport: Välj transportprotokollet (TCP eller UDP).
    • Format: Välj formatet (RFC 3164 eller RFC 5424).

  5. Välj Skicka SIEM-testavisering och kontrollera sedan att meddelandet tas emot i syslog-infrastrukturlösningen.

  6. När du har bekräftat att testet fungerar väljer du Spara.

  7. När du har konfigurerat Syslog-tjänsten väljer du de typer av meddelanden som ska skickas till Syslog-servern, inklusive när:

    • En ny säkerhetsavisering har identifierats
    • En befintlig säkerhetsavisering uppdateras
    • Ett nytt hälsoproblem har identifierats

Dricks

När du arbetar med Syslog i TLS-läge måste du installera de certifikat som krävs på den avsedda sensorn.

Skapa automationsskript för Defender for Identity SIEM-loggar

Om du skapar automationsskript för Defender for Identity SIEM-loggar rekommenderar vi att du använder fältet externalId för att identifiera aviseringstypen i stället för att använda aviseringsnamnet.

Även om aviseringsnamn ibland kan ändras är externalId för varje avisering permanent. Mer information finns i SiEM-loggreferens för Defender for Identity.

Relaterat innehåll

Mer information finns i Konfigurera händelsesamling.