適用于身分識別的 Defender 通知Microsoft 365 Defender

  • 文章

本文說明如何在 Microsoft 365 Defender 中使用適用於身分識別的 Microsoft Defender通知。

健康情況問題通知

在Microsoft 365 Defender中,您可以在適用于身分識別的 Defender 中新增健康情況問題的電子郵件通知收件者。

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    移至 [設定],然後移至 [身分識別]。

  2. 選取 [健康情況問題通知]。

  3. 輸入收件者的電子郵件地址。 選取 [新增]。

    輸入健康情況問題的電子郵件地址。

  4. 當適用于身分識別的 Defender 偵測到健康情況問題時,收件者會收到包含詳細資料的電子郵件通知。

    健康情況問題電子郵件的範例。

    注意

    電子郵件提供兩個連結,以取得問題的詳細資料。 您可以移至 MDI Health CenterM365D 中的新健全狀況中心

警示通知

在Microsoft 365 Defender中,您可以新增已偵測到警示電子郵件通知的收件者。

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    移至 [設定],然後移至 [身分識別]。

  2. 選取 [警示通知]。

  3. 輸入收件者的電子郵件地址。 選取 [新增]。

    輸入偵測到警示的電子郵件地址。

Syslog 通知

適用于身分識別的 Defender 可以透過指定的感應器,將安全性和健康情況警示傳送至 Syslog 伺服器,以在偵測到可疑活動時通知您。

注意

若要瞭解如何整合適用于身分識別的 Defender 與 Microsoft Sentinel,請參閱Microsoft 365 Defender與 Microsoft Sentinel 整合

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    移至 [設定],然後移至 [身分識別]。

  2. 選取 [Syslog 通知]。

  3. 若要啟用 syslog 通知,請將 Syslog 服務 切換設定為 開啟 位置。

    開啟 syslog 服務。

  4. 選取 [ 設定服務]。 隨即開啟窗格,您可以在其中輸入 syslog 服務的詳細資料。

    輸入 syslog 服務詳細資料。

  5. 輸入下列詳細資料:

    • 感應器 - 從下拉式清單中,選擇將傳送警示的感應器。
    • 服務端點 - 輸入 syslog 伺服器的 IP 位址或完整功能變數名稱 (FQDN) ,並指定埠號碼。 您只能設定一個 Syslog 端點。
    • 傳輸 - 選取 [ 傳輸 通訊協定] ([TCP] 或 [UDP) ]。
    • 格式 - (RFC 3164 或 RFC 5424) 選取格式。

  6. 選取 [傳送測試 SIEM 通知 ],然後確認 Syslog 基礎結構解決方案中已收到訊息。

  7. 選取 [儲存]。

  8. 設定 Syslog 服務之後,您可以選擇 (警示或健康情況問題) 傳送至 Syslog 伺服器的通知類型。

    已設定 Syslog 服務。

注意

  • 如果您打算為適用于身分識別的 Defender SIEM 記錄建立自動化或腳本,建議您使用 externalId 欄位來識別警示類型,而不是針對此用途使用警示名稱。 警示名稱有時候可能會遭到修改,但每個警示的 externalId 永遠不會變。 如需詳細資訊,請參閱 適用于身分識別的 Defender SIEM 記錄參考

  • 在 TLS 模式中使用 Syslog 時,請務必在指定的感應器上安裝必要的憑證。

  • 事件不會直接從適用于身分識別的 Defender 服務傳送到您的 Syslog 伺服器。 這是所提名感應器的目的。 選取的感應器會從適用于身分識別的 Defender 服務收集資料,並將其傳送至您的 Syslog 伺服器。

另請參閱