Oznámení služby Defender for Identity v Microsoft Defender XDR
Microsoft Defender for Identity poskytuje oznámení o problémech se stavem a výstrahách zabezpečení, a to buď prostřednictvím e-mailových oznámení, nebo na server Syslog.
Tento článek popisuje, jak nakonfigurovat oznámení Defenderu for Identity, abyste měli informace o všech zjištěných problémech se stavem nebo zjištěných výstrahách zabezpečení.
Tip
Kromě e-mailových oznámení nebo oznámení syslogu doporučujeme správcům SOC používat Microsoft Sentinel k zobrazení všech upozornění na jednom portálu. Další informace najdete v tématu integrace Microsoft Defender XDR s Microsoft Sentinel. Pokud chcete integrovat další nástroje SIEM, přečtěte si téma Integrace nástrojů SIEM s Microsoft Defender XDR.
Konfigurace e-mailových oznámení
Tato část popisuje, jak nakonfigurovat e-mailová oznámení o problémech se stavem Defenderu for Identity.
V Microsoft Defender XDR vyberte Identity nastavení>.
V části Oznámení vyberte Oznámení o problémech se stavem.
Do pole Přidat e-mail příjemce zadejte e-mailové adresy, na které chcete dostávat e-mailová oznámení, a vyberte + Přidat.
Kdykoli Defender for Identity zjistí problém se stavem, dostanou nakonfigurovaní příjemci e-mailové oznámení s podrobnostmi s odkazem na Microsoft Defender XDR další podrobnosti.
Poznámka
Pokud chcete dostávat e-mailová oznámení o incidentech, použijte stránku oznámení Email v části Nastavení Defender XDR pro nová a existující pravidla oznámení. Další informace
Konfigurace oznámení syslogu
Tato část popisuje, jak nakonfigurovat Defender for Identity tak, aby odesílal problémy se stavem a události zabezpečení na server Syslog prostřednictvím nakonfigurovaného senzoru.
Události se ze služby Defender for Identity neodesílají přímo na server Syslog, ale pouze prostřednictvím senzoru.
Konfigurace oznámení syslogu:
V Microsoft Defender XDR vyberte Identity nastavení>.
V části Oznámení vyberte Oznámení syslogu a pak zapněte možnost služba Syslog .
Výběrem možnosti Konfigurovat službu otevřete podokno služby Syslog .
Zadejte následující podrobnosti:
- Senzor: Vyberte senzor, který chcete posílat oznámení na server Syslog.
- Koncový bod služby a port: Zadejte IP adresu nebo plně kvalifikovaný název domény (FQDN) serveru Syslog a pak zadejte číslo portu. Můžete nakonfigurovat jenom jeden koncový bod Syslogu.
- Přenos: Vyberte transportní protokol (TCP nebo UDP).
- Formát: Vyberte formát (RFC 3164 nebo RFC 5424).
Vyberte Odeslat testovací oznámení SIEM a pak ověřte přijetí zprávy v řešení infrastruktury Syslogu.
Až ověříte, že test funguje, vyberte Uložit.
Po konfiguraci služby Syslog vyberte typy oznámení, která se mají odesílat na server Syslog, včetně následujících:
- Byla zjištěna nová výstraha zabezpečení.
- Aktualizuje se existující výstraha zabezpečení.
- Byl zjištěn nový problém se stavem
Tip
Při práci se syslogem v režimu TLS nezapomeňte nainstalovat požadované certifikáty na určený senzor.
Vytváření automatizačních skriptů pro protokoly SIEM služby Defender for Identity
Pokud vytváříte automatizační skripty pro protokoly SIEM defenderu for Identity, doporučujeme místo názvu upozornění použít pole externalId k identifikaci typu upozornění.
I když se názvy výstrah můžou občas změnit, externí ID každé výstrahy je trvalé. Další informace najdete v tématu Referenční informace k protokolu SIEM služby Defender for Identity.
Související obsah
Další informace najdete v tématu Konfigurace shromažďování událostí.