Megosztás a következőn keresztül:

A Defender for Identity értesítései a Microsoft Defender XDR

  • Cikk

Microsoft Defender for Identity az állapotproblémákról és a biztonsági riasztásokról biztosít értesítéseket e-mail-értesítéseken vagy egy Syslog-kiszolgálón keresztül.

Ez a cikk bemutatja, hogyan konfigurálhatja a Defender for Identity értesítéseit, hogy értesüljön az észlelt állapotproblémákról vagy biztonsági riasztásokról.

Tipp

Az e-mailes vagy a Syslog-értesítések mellett azt javasoljuk, hogy az SOC-rendszergazdák Microsoft Sentinel használják az összes riasztás egyetlen portálon való megtekintésére. További információ: Microsoft Defender XDR integráció Microsoft Sentinel. Más SIEM-eszközök integrálásához lásd: SIEM-eszközök integrálása Microsoft Defender XDR.

E-mail-értesítések konfigurálása

Ez a szakasz ismerteti, hogyan konfigurálhatja az e-mail-értesítéseket a Defender for Identity állapotproblémáihoz.

  1. A Microsoft Defender XDR válassza a Beállítások>Identitások lehetőséget.

  2. Az Értesítések területen válassza az Állapotproblémák értesítései lehetőséget.

  3. A Címzett e-mail hozzáadása mezőben adja meg azt az e-mail-címet(ok), ahová e-mail-értesítéseket szeretne kapni, majd válassza a + Hozzáadás lehetőséget.

Amikor a Defender for Identity állapotbeli problémát észlel, a konfigurált címzettek e-mailben értesítést kapnak a részletekről, a további részletekért pedig Microsoft Defender XDR hivatkozással.

Megjegyzés:

Az incidensekkel kapcsolatos e-mail-értesítések fogadásához használja az új és meglévő értesítési szabályok Defender XDR Beállítások területén található Email Értesítések lapot. További információ.

Syslog-értesítések konfigurálása

Ez a szakasz azt ismerteti, hogyan konfigurálhatja a Defender for Identityt arra, hogy állapotproblémákat és biztonsági eseményeket küldjön egy Syslog-kiszolgálónak egy konfigurált érzékelőn keresztül.

Az eseményeket a rendszer nem küldi el közvetlenül a Syslog-kiszolgálóra a Defender for Identity szolgáltatásból, csak az érzékelőn keresztül.

A Syslog-értesítések konfigurálása:

  1. A Microsoft Defender XDR válassza a Beállítások>Identitások lehetőséget.

  2. Az Értesítések területen válassza a Syslog-értesítések elemet, majd váltson a Syslog szolgáltatás lehetőségre.

  3. Válassza a Szolgáltatás konfigurálása lehetőséget a Syslog szolgáltatáspanel megnyitásához.

  4. Adja meg a következő adatokat:

    • Érzékelő: Válassza ki azt az érzékelőt, amelyet értesítéseket szeretne küldeni a Syslog-kiszolgálónak.
    • Szolgáltatásvégpont és port: Adja meg a Syslog-kiszolgáló IP-címét vagy teljes tartománynevét (FQDN), majd adja meg a portszámot. Csak egy Syslog-végpontot konfigurálhat.
    • Átvitel: Válassza ki a Transport protokollt (TCP vagy UDP).
    • Formátum: Válassza ki a formátumot (RFC 3164 vagy RFC 5424).

  5. Válassza az SIEM-tesztértesítés küldése lehetőséget, majd ellenőrizze, hogy az üzenet megérkezik-e a Syslog-infrastruktúra megoldásában.

  6. Ha meggyőződött arról, hogy a teszt működik, válassza a Mentés lehetőséget.

  7. A Syslog szolgáltatás konfigurálása után válassza ki a Syslog-kiszolgálónak küldendő értesítések típusait, beleértve az alábbi esetekben is:

    • A rendszer új biztonsági riasztást észlel
    • Egy meglévő biztonsági riasztás frissült
    • A rendszer új állapottal kapcsolatos problémát észlel

Tipp

Ha TLS módban használja a Syslogot, mindenképpen telepítse a szükséges tanúsítványokat a kijelölt érzékelőre.

Automatizálási szkriptek létrehozása a Defender for Identity SIEM-naplóihoz

Ha automatizálási szkripteket hoz létre a Defender for Identity SIEM-naplóihoz, javasoljuk, hogy a riasztás neve helyett az externalId mező használatával azonosítsa a riasztás típusát.

Bár a riasztások neve időnként módosítható, az egyes riasztások externalId azonosítója állandó. További információ: Defender for Identity SIEM naplóreferenciája.

Kapcsolódó tartalom

További információ: Eseménygyűjtés konfigurálása.