適用於身分識別的 Defender 通知 Microsoft Defender 全面偵測回應
適用於身分識別的 Microsoft Defender 會透過電子郵件通知或 Syslog 伺服器,提供健康情況問題和安全性警示的通知。
本文說明如何設定適用於身分識別的 Defender 通知,讓您知道偵測到任何健康情況問題或安全性警示。
提示
除了電子郵件或 Syslog 通知之外,我們建議 SOC 系統管理員使用 Microsoft Sentinel 在單一入口網站中檢視所有警示。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。 若要整合其他 SIEM 工具,請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應。
設定電子郵件通知
本節說明如何設定適用於身分識別的Defender健康情況問題或安全性警示的電子郵件通知。
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>][標識符]。
在 [通知] 底下,選取 [健康情況問題通知] 或 [視需要發出警示通知]。
在 [ 新增收件者電子郵件] 中,輸入您要接收電子郵件通知的電子郵件地址,然後選取 [ + 新增]。
每當適用於身分識別的 Defender 偵測到健康情況問題或安全性警示時,設定的收件者會收到包含詳細數據的電子郵件通知,並連結至 Microsoft Defender 全面偵測回應 以取得詳細數據。
設定 Syslog 通知
本節說明如何設定適用於身分識別的Defender,透過設定的感測器將健康情況問題和安全性事件傳送至 Syslog 伺服器。
事件不會直接從適用於身分識別的 Defender 服務傳送到 Syslog 伺服器,而只會透過感測器傳送。
若要設定 Syslog 通知:
在 [Microsoft Defender 全面偵測回應] 中,選取 [設定>][實體]。
在 [通知] 底下,選取 [Syslog 通知],然後切換 [Syslog 服務] 選項。
選取 [ 設定服務 ] 以開啟 [Syslog 服務 ] 窗格。
輸入下列詳細資料:
- 感測器:選取您要將通知傳送至 Syslog 伺服器的感測器
- 服務端點 和 埠:輸入 Syslog 伺服器的 IP 位址或完整功能變數名稱 (FQDN),然後輸入埠號碼。 您只能設定一個 Syslog 端點。
- 傳輸:選取傳輸通訊協定 (TCP 或 UDP)。
- 格式:選取格式 (RFC 3164 或 RFC 5424)。
選取 [ 傳送測試 SIEM 通知 ],然後確認 Syslog 基礎結構解決方案中已收到訊息。
當您確認測試正常運作時,請選取 [ 儲存]。
設定 Syslog 服務之後,請選取要傳送至 Syslog 伺服器的通知類型,包括:
- 偵測到新的安全性警示
- 已更新現有的安全性警示
- 偵測到新的健康情況問題
提示
在 TLS 模式中使用 Syslog 時,請務必在指定的感測器上安裝必要的憑證。
建立適用於身分識別的Defender SIEM記錄的自動化腳本
如果您要為適用於身分識別的 Defender SIEM 記錄建立自動化腳本,建議您使用 externalId 字段來識別警示類型,而不是使用警示名稱。
雖然偶爾可能會修改警示名稱, 但每個警示的externalId 是永久的。 如需詳細資訊,請參閱 適用於身分識別的Defender SIEM記錄參考。
相關內容
如需詳細資訊,請參閱 設定事件集合。