Notificações do Defender para Identidade no Microsoft Defender XDR
Microsoft Defender para Identidade fornece notificações para problemas de estado de funcionamento e alertas de segurança, seja através de notificações por e-mail ou para um servidor Syslog.
Este artigo descreve como configurar notificações do Defender para Identidade para que tenha conhecimento de quaisquer problemas de estado de funcionamento ou alertas de segurança detetados.
Sugestão
Além das notificações de e-mail ou do Syslog, recomendamos que os administradores do SOC utilizem Microsoft Sentinel para ver todos os alertas num único portal. Para obter mais informações, veja Microsoft Defender XDR integração com Microsoft Sentinel. Para integrar outras ferramentas SIEM, veja Integrar as ferramentas SIEM com Microsoft Defender XDR.
Configurar notificações por e-mail
Esta secção descreve como configurar notificações por e-mail para problemas de estado de funcionamento do Defender para Identidade.
Em Microsoft Defender XDR, selecione Definições Identidades>.
Em Notificações, selecione Notificações de problemas de estado de funcionamento.
No e-mail Adicionar destinatário, introduza o(es) endereço(es) onde pretende receber notificações por e-mail e selecione + Adicionar.
Sempre que o Defender para Identidade detetar um problema de estado de funcionamento, os destinatários configurados recebem uma notificação por e-mail com os detalhes, com uma ligação para Microsoft Defender XDR para obter mais detalhes.
Nota
Para receber notificações por e-mail sobre Incidentes, utilize a página Notificações Email em Definições de Defender XDR para regras de notificações novas e existentes. Saiba mais.
Configurar notificações do Syslog
Esta secção descreve como configurar o Defender para Identidade para enviar problemas de estado de funcionamento e eventos de segurança para um servidor Syslog através de um sensor configurado.
Os eventos não são enviados diretamente do serviço Defender para Identidade para o servidor Syslog, mas apenas através do sensor.
Para configurar as notificações do Syslog:
Em Microsoft Defender XDR, selecione Definições Identidades>.
Em Notificações, selecione Notificações do Syslog e, em seguida, ative a opção de serviço Syslog .
Selecione Configurar serviço para abrir o painel do serviço Syslog.
Introduza os seguintes detalhes:
- Sensor: selecione o sensor que pretende enviar notificações para o servidor Syslog.
- Ponto final de serviço e Porta: introduza o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor Syslog e, em seguida, introduza o número da porta. Só pode configurar um ponto final do Syslog.
- Transporte: selecione o Protocolo de transporte (TCP ou UDP).
- Formato: selecione o formato (RFC 3164 ou RFC 5424).
Selecione Enviar notificação SIEM de teste e, em seguida, verifique se a mensagem foi recebida na sua solução de infraestrutura do Syslog.
Quando confirmar que o teste funciona, selecione Guardar.
Depois de configurar o serviço Syslog, selecione os tipos de notificações a enviar para o servidor Syslog, incluindo sempre que:
- Foi detetado um novo alerta de segurança
- Um alerta de segurança existente é atualizado
- Foi detetado um novo problema de estado de funcionamento
Sugestão
Ao trabalhar com o Syslog no modo TLS, certifique-se de que instala os certificados necessários no sensor designado.
Criar scripts de automatização para registos SIEM do Defender para Identidade
Se estiver a criar scripts de automatização para registos SIEM do Defender para Identidade, recomendamos que utilize o campo externalId para identificar o tipo de alerta em vez de utilizar o nome do alerta.
Embora os nomes de alerta possam ocasionalmente ser modificados, o externalId de cada alerta é permanente. Para obter mais informações, veja Referência do registo SIEM do Defender para Identidade.
Conteúdos relacionados
Para obter mais informações, veja Configurar a recolha de eventos.