Microsoft Defender 全面偵測回應中適用於身分識別的Defender通知

適用於身分識別的 Microsoft Defender 透過電子郵件通知或 Syslog 伺服器，提供健康情況問題和安全性警示的通知。

本文說明如何設定適用於身分識別的 Defender 通知，讓您知道偵測到的任何健康情況問題或安全性警示。

提示

除了電子郵件或 Syslog 通知，我們建議 SOC 系統管理員使用 Microsoft Sentinel 來檢視單一入口網站中的所有警示。如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 整合。若要整合其他 SIEM 工具，請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應。

設定電子郵件通知

本節說明如何設定適用於身分識別的Defender健康情況問題的電子郵件通知。

每當適用於身分識別的 Defender 偵測到健康情況問題時，設定的收件者會收到包含詳細數據的電子郵件通知，並提供 Microsoft Defender 全面偵測回應的連結以取得詳細數據。

注意事項

若要接收有關事件的電子郵件通知，請使用 [Defender 全面偵測回應設定] 底下的 [Email 通知] 頁面，以取得新的和現有的通知規則。深入了解。

本節說明如何設定適用於身分識別的Defender，透過設定的感測器將健康情況問題和安全性事件傳送至 Syslog 伺服器。

事件不會直接從適用於身分識別的Defender服務傳送至Syslog伺服器，而只會透過感測器傳送。

若要設定 Syslog 通知：

在 Microsoft Defender 全面偵測回應中，選取 [設定身分>識別]。
在 [通知] 底下，選取 [Syslog 通知]，然後切換 [ Syslog 服務 ] 選項。
選 取 [設定服務 ] 以開啟 [Syslog 服務 ] 窗格。
輸入下列詳細資料：
- 感測器：選取您要傳送通知給 Syslog 伺服器的感測器。
- 服務端點 和埠：輸入 Syslog 伺服器的 IP 位址或完整域名 (FQDN) ，然後輸入埠號碼。您只能設定一個 Syslog 端點。
- 傳輸：選取 TCP 或 UDP) (傳輸通訊協定。
- 格式：選取 RFC 3164 或 RFC 5424) (格式。
選 取 [傳送測試 SIEM 通知 ]，然後確認您的 Syslog 基礎結構解決方案中已收到訊息。
當您確認測試正常運作時，請選取 [ 儲存]。
設定 Syslog 服務之後，請選取要傳送至 Syslog 伺服器的通知類型，包括：
- 偵測到新的安全性警示
- 已更新現有的安全性警示
- 偵測到新的健康情況問題

提示

在 TLS 模式中使用 Syslog 時，請務必在指定的感測器上安裝必要的憑證。

如果您要為適用於身分識別的 Defender SIEM 記錄建立自動化腳本，建議您使用 externalId 字 段來識別警示類型，而不是使用警示名稱。

雖然警示名稱可能偶爾會修改，但每個警示的 externalId 是永久的。如需詳細資訊，請參閱適用於身分識別的Defender SIEM記錄參考。