Notificaciones de Defender for Identity en Microsoft Defender XDR

Microsoft Defender for Identity proporciona notificaciones para problemas de mantenimiento y alertas de seguridad, ya sea a través de notificaciones por correo electrónico o a un servidor syslog.

En este artículo se describe cómo configurar las notificaciones de Defender for Identity para que tenga en cuenta los problemas de mantenimiento o las alertas de seguridad detectadas.

Configuración de notificaciones por correo electrónico

En esta sección se describe cómo configurar notificaciones por correo electrónico para problemas de mantenimiento de Defender for Identity.

1. En Microsoft Defender XDR, seleccione Identidades de configuración>.

2. En Notificaciones, seleccione Notificaciones de problemas de mantenimiento.

3. En Agregar correo electrónico de destinatario, escriba las direcciones de correo electrónico donde desea recibir notificaciones por correo electrónico y seleccione + Agregar.

Cada vez que Defender for Identity detecta un problema de mantenimiento, los destinatarios configurados reciben una notificación por correo electrónico con los detalles, con un vínculo a Microsoft Defender XDR para obtener más detalles.

Configuración de notificaciones de Syslog

En esta sección se describe cómo configurar Defender for Identity para enviar problemas de estado y eventos de seguridad a un servidor syslog a través de un sensor configurado.

Los eventos no se envían directamente desde el servicio Defender for Identity al servidor de Syslog, sino solo a través del sensor.

Para configurar las notificaciones de Syslog:

1. En Microsoft Defender XDR, seleccione Identidades de configuración>.

2. En Notificaciones, seleccione Notificaciones de Syslog y, a continuación, active la opción servicio Syslog .

3. Seleccione Configurar servicio para abrir el panel Servicio de Syslog .

4. Escriba los detalles siguientes:

   • Sensor: seleccione el sensor que desea enviar notificaciones al servidor de Syslog.
   • Punto de conexión de servicio y puerto: escriba la dirección IP o el nombre de dominio completo (FQDN) para el servidor syslog y, a continuación, escriba el número de puerto. Solo puede configurar un punto de conexión de Syslog.
   • Transporte: seleccione el protocolo de transporte (TCP o UDP).
   • Formato: seleccione el formato (RFC 3164 o RFC 5424).

5. Seleccione Enviar notificación SIEM de prueba y compruebe que el mensaje se recibe en la solución de infraestructura de Syslog.

6. Cuando haya confirmado que la prueba funciona, seleccione Guardar.

7. Después de configurar el servicio Syslog, seleccione los tipos de notificaciones que se van a enviar al servidor de Syslog, incluidos los siguientes:

   • Se detecta una nueva alerta de seguridad
   • Se actualiza una alerta de seguridad existente
   • Se detecta un nuevo problema de mantenimiento

Creación de scripts de automatización para registros SIEM de Defender for Identity

Si va a crear scripts de automatización para los registros SIEM de Defender for Identity, se recomienda usar el campo externalId para identificar el tipo de alerta en lugar de usar el nombre de la alerta.

Aunque en ocasiones se pueden modificar los nombres de alerta, el valor externalId de cada alerta es permanente. Para obtener más información, consulte Referencia del registro SIEM de Defender for Identity.

Contenido relacionado

Para obtener más información, consulte Configuración de la colección de eventos.