A Defender for Identity értesítései a Microsoft Defender XDR
Microsoft Defender for Identity az állapotproblémákról és a biztonsági riasztásokról biztosít értesítéseket e-mail-értesítéseken vagy egy Syslog-kiszolgálón keresztül.
Ez a cikk bemutatja, hogyan konfigurálhatja a Defender for Identity értesítéseit, hogy értesüljön az észlelt állapotproblémákról vagy biztonsági riasztásokról.
Tipp
Az e-mailes vagy a Syslog-értesítések mellett azt javasoljuk, hogy az SOC-rendszergazdák Microsoft Sentinel használják az összes riasztás egyetlen portálon való megtekintésére. További információ: Microsoft Defender XDR integráció Microsoft Sentinel. Más SIEM-eszközök integrálásához lásd: SIEM-eszközök integrálása Microsoft Defender XDR.
E-mail-értesítések konfigurálása
Ez a szakasz ismerteti, hogyan konfigurálhatja az e-mail-értesítéseket a Defender for Identity állapotproblémáihoz.
A Microsoft Defender XDR válassza a Beállítások>Identitások lehetőséget.
Az Értesítések területen válassza az Állapotproblémák értesítései lehetőséget.
A Címzett e-mail hozzáadása mezőben adja meg azt az e-mail-címet(ok), ahová e-mail-értesítéseket szeretne kapni, majd válassza a + Hozzáadás lehetőséget.
Amikor a Defender for Identity állapotbeli problémát észlel, a konfigurált címzettek e-mailben értesítést kapnak a részletekről, a további részletekért pedig Microsoft Defender XDR hivatkozással.
Megjegyzés:
Az incidensekkel kapcsolatos e-mail-értesítések fogadásához használja az új és meglévő értesítési szabályok Defender XDR Beállítások területén található Email Értesítések lapot. További információ.
Syslog-értesítések konfigurálása
Ez a szakasz azt ismerteti, hogyan konfigurálhatja a Defender for Identityt arra, hogy állapotproblémákat és biztonsági eseményeket küldjön egy Syslog-kiszolgálónak egy konfigurált érzékelőn keresztül.
Az eseményeket a rendszer nem küldi el közvetlenül a Syslog-kiszolgálóra a Defender for Identity szolgáltatásból, csak az érzékelőn keresztül.
A Syslog-értesítések konfigurálása:
A Microsoft Defender XDR válassza a Beállítások>Identitások lehetőséget.
Az Értesítések területen válassza a Syslog-értesítések elemet, majd váltson a Syslog szolgáltatás lehetőségre.
Válassza a Szolgáltatás konfigurálása lehetőséget a Syslog szolgáltatáspanel megnyitásához.
Adja meg a következő adatokat:
- Érzékelő: Válassza ki azt az érzékelőt, amelyet értesítéseket szeretne küldeni a Syslog-kiszolgálónak.
- Szolgáltatásvégpont és port: Adja meg a Syslog-kiszolgáló IP-címét vagy teljes tartománynevét (FQDN), majd adja meg a portszámot. Csak egy Syslog-végpontot konfigurálhat.
- Átvitel: Válassza ki a Transport protokollt (TCP vagy UDP).
- Formátum: Válassza ki a formátumot (RFC 3164 vagy RFC 5424).
Válassza az SIEM-tesztértesítés küldése lehetőséget, majd ellenőrizze, hogy az üzenet megérkezik-e a Syslog-infrastruktúra megoldásában.
Ha meggyőződött arról, hogy a teszt működik, válassza a Mentés lehetőséget.
A Syslog szolgáltatás konfigurálása után válassza ki a Syslog-kiszolgálónak küldendő értesítések típusait, beleértve az alábbi esetekben is:
- A rendszer új biztonsági riasztást észlel
- Egy meglévő biztonsági riasztás frissült
- A rendszer új állapottal kapcsolatos problémát észlel
Tipp
Ha TLS módban használja a Syslogot, mindenképpen telepítse a szükséges tanúsítványokat a kijelölt érzékelőre.
Automatizálási szkriptek létrehozása a Defender for Identity SIEM-naplóihoz
Ha automatizálási szkripteket hoz létre a Defender for Identity SIEM-naplóihoz, javasoljuk, hogy a riasztás neve helyett az externalId mező használatával azonosítsa a riasztás típusát.
Bár a riasztások neve időnként módosítható, az egyes riasztások externalId azonosítója állandó. További információ: Defender for Identity SIEM naplóreferenciája.
Kapcsolódó tartalom
További információ: Eseménygyűjtés konfigurálása.