Поделиться через


Уведомления Defender для удостоверений в Microsoft Defender XDR

Microsoft Defender для удостоверений предоставляет уведомления о проблемах работоспособности и оповещениях системы безопасности через Уведомления по электронной почте или на сервер системного журнала.

В этой статье описывается, как настроить уведомления Defender для удостоверений, чтобы вы знали о любых проблемах работоспособности или обнаруженных оповещениях системы безопасности.

Совет

Помимо уведомлений по электронной почте или системного журнала мы рекомендуем администраторам SOC использовать Microsoft Sentinel для просмотра всех оповещений на одном портале. Дополнительные сведения см. в разделе интеграция Microsoft Defender XDR с Microsoft Sentinel. Сведения об интеграции других средств SIEM см. в статье Интеграция средств SIEM с Microsoft Defender XDR.

Настройка Уведомления по электронной почте

В этом разделе описывается настройка Уведомления по электронной почте проблем работоспособности Defender для удостоверений.

  1. В Microsoft Defender XDR выберите Параметры>Удостоверения.

  2. В разделе Уведомления выберите Уведомления о работоспособности.

  3. В поле Добавление адреса электронной почты получателя введите адреса электронной почты, на которые вы хотите получить Уведомления по электронной почте, и нажмите кнопку + Добавить.

Каждый раз, когда Defender для удостоверений обнаруживает проблему работоспособности, настроенные получатели получают уведомление по электронной почте со ссылкой на Microsoft Defender XDR для получения дополнительных сведений.

Примечание.

Чтобы получить Уведомления по электронной почте об инцидентах, используйте страницу уведомлений Email в разделе параметры Defender XDR для новых и существующих правил уведомлений. Подробнее.

Настройка уведомлений системного журнала

В этом разделе описывается настройка Defender для удостоверений для отправки проблем работоспособности и событий безопасности на сервер Syslog через настроенный датчик.

События не отправляются из службы Defender для удостоверений на сервер Syslog напрямую, а только через датчик.

Чтобы настроить уведомления системного журнала, выполните следующие действия.

  1. В Microsoft Defender XDR выберите Параметры>Удостоверения.

  2. В разделе Уведомления выберите Уведомления системного журнала, а затем выберите параметр Служба системного журнала .

  3. Выберите Настроить службу , чтобы открыть область службы Системного журнала .

  4. Введите следующие сведения:

    • Датчик. Выберите датчик, который вы хотите отправлять уведомления на сервер Syslog.
    • Конечная точка службы и порт. Введите IP-адрес или полное доменное имя (FQDN) для сервера системного журнала, а затем введите номер порта. Можно настроить только одну конечную точку syslog.
    • Транспорт. Выберите транспортный протокол (TCP или UDP).
    • Формат: выберите формат (RFC 3164 или RFC 5424).
  5. Выберите Отправить тестовое уведомление SIEM и убедитесь, что сообщение получено в решении инфраструктуры Системного журнала.

  6. Убедись, что тест работает, нажмите кнопку Сохранить.

  7. После настройки службы Syslog выберите типы уведомлений для отправки на сервер Syslog, в том числе в следующих случаях:

    • Обнаружено новое оповещение системы безопасности
    • Обновление существующего оповещения системы безопасности
    • Обнаружена новая проблема работоспособности

Совет

При работе с системным журналом в режиме TLS обязательно установите необходимые сертификаты на назначенный датчик.

Создание скриптов автоматизации для журналов SIEM Defender для удостоверений

Если вы создаете сценарии автоматизации для журналов SIEM Defender для удостоверений, мы рекомендуем использовать поле externalId для определения типа оповещения вместо имени оповещения.

Хотя имена оповещений могут иногда изменяться, внешний идентификатор каждого оповещения является постоянным. Дополнительные сведения см. в статье Справочник по журналам SIEM Defender для удостоверений.

Дополнительные сведения см. в разделе Настройка сбора событий.