Aracılığıyla paylaş


Microsoft Defender XDR'de Kimlik için Defender bildirimleri

Kimlik için Microsoft Defender, sistem durumu sorunları ve güvenlik uyarıları için e-posta bildirimleri aracılığıyla veya bir Syslog sunucusuna bildirim sağlar.

Bu makalede, algılanan sistem durumu sorunlarını veya güvenlik uyarılarını fark etmeniz için Kimlik için Defender bildirimlerinin nasıl yapılandırıldığı açıklanır.

İpucu

E-posta veya Syslog bildirimlerine ek olarak, SOC yöneticilerinin tüm uyarıları tek bir portalda görüntülemek için Microsoft Sentinel kullanmasını öneririz. Daha fazla bilgi için bkz. Microsoft Sentinel ile tümleştirme Microsoft Defender XDR. Diğer SIEM araçlarını tümleştirmek için bkz. SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme.

E-posta bildirimlerini yapılandırma

Bu bölümde, Kimlik için Defender sistem durumu sorunları için e-posta bildirimlerinin nasıl yapılandırıldığı açıklanmaktadır.

  1. Microsoft Defender XDR ayarlarKimlikleri'netıklayın>.

  2. Bildirimler'in altında Sistem durumu sorunları bildirimleri'ni seçin.

  3. Alıcı e-postası ekle bölümünde, e-posta bildirimlerini almak istediğiniz e-posta adreslerini girin ve + Ekle'yi seçin.

Kimlik için Defender bir sistem durumu sorunu algıladiğinde, yapılandırılmış alıcılar ayrıntıları içeren bir e-posta bildirimi alır ve daha fazla ayrıntı için Microsoft Defender XDR bağlantısını içerir.

Not

Olaylar hakkında e-posta bildirimleri almak için yeni ve mevcut bildirim kuralları için ayarlar Defender XDR altındaki Email Bildirimleri sayfasını kullanın. Daha fazla bilgi edinin.

Syslog bildirimlerini yapılandırma

Bu bölümde, sistem durumu sorunlarını ve güvenlik olaylarını yapılandırılmış bir algılayıcı aracılığıyla syslog sunucusuna göndermek üzere Kimlik için Defender'ın nasıl yapılandırıldığı açıklanmaktadır.

Olaylar Kimlik için Defender hizmetinden doğrudan Syslog sunucunuza gönderilmez, yalnızca algılayıcı üzerinden gönderilir.

Syslog bildirimlerini yapılandırmak için:

  1. Microsoft Defender XDR ayarlarKimlikleri'netıklayın>.

  2. Bildirimler'in altında Syslog bildirimleri'ni seçin ve ardından Syslog hizmeti seçeneğini açın.

  3. Syslog hizmeti bölmesini açmak için Hizmeti yapılandır'ı seçin.

  4. Aşağıdaki ayrıntıları girin:

    • Algılayıcı: Syslog sunucusuna bildirim göndermek istediğiniz algılayıcıyı seçin.
    • Hizmet uç noktası ve Bağlantı Noktası: Syslog sunucusu için IP adresini veya tam etki alanı adını (FQDN) girin ve ardından bağlantı noktası numarasını girin. Yalnızca bir Syslog uç noktası yapılandırabilirsiniz.
    • Aktarım: Aktarım protokollerini (TCP veya UDP) seçin.
    • Biçim: Biçimi seçin (RFC 3164 veya RFC 5424).
  5. Test SIEM bildirimi gönder'i seçin ve ardından iletinin Syslog altyapı çözümünüzde alındığını doğrulayın.

  6. Testin çalıştığını onayladıktan sonra Kaydet'i seçin.

  7. Syslog hizmetini yapılandırdıktan sonra Aşağıdakiler dahil olmak üzere Syslog sunucunuza gönderilecek bildirim türlerini seçin:

    • Yeni bir güvenlik uyarısı algılandı
    • Mevcut bir güvenlik uyarısı güncelleştirildi
    • Yeni bir sistem durumu sorunu algılandı

İpucu

SYSlog ile TLS modunda çalışırken, belirtilen algılayıcıya gerekli sertifikaları yüklediğinizden emin olun.

Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturma

Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturuyorsanız, uyarı adını kullanmak yerine uyarı türünü tanımlamak için externalId alanını kullanmanızı öneririz.

Uyarı adları zaman zaman değiştirilebilir ancak her uyarının externalId değeri kalıcı olur. Daha fazla bilgi için bkz. Kimlik için Defender SIEM günlük başvurusu.

Daha fazla bilgi için bkz. Olay koleksiyonunu yapılandırma.