共用方式為


Microsoft Defender 全面偵測回應 中適用於身分識別的Defender通知

適用於身分識別的 Microsoft Defender 透過電子郵件通知或 Syslog 伺服器,提供健康情況問題和安全性警示的通知。

本文說明如何設定適用於身分識別的 Defender 通知,讓您知道偵測到的任何健康情況問題或安全性警示。

提示

除了電子郵件或 Syslog 通知,我們建議 SOC 系統管理員使用 Microsoft Sentinel 來檢視單一入口網站中的所有警示。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。 若要整合其他 SIEM 工具,請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應

設定電子郵件通知

本節說明如何設定適用於身分識別的Defender健康情況問題的電子郵件通知。

  1. Microsoft Defender 全面偵測回應 中,選取 [設定身分>識別]

  2. [通知] 底下,選取 [ 健康情況問題通知]

  3. 在 [ 新增收件者電子郵件] 中,輸入您要接收電子郵件通知) (電子郵件地址,然後選取 [ + 新增]

每當適用於身分識別的 Defender 偵測到健康情況問題時,設定的收件者會收到包含詳細數據的電子郵件通知,並提供 Microsoft Defender 全面偵測回應 的連結以取得詳細數據。

注意事項

若要接收有關事件的電子郵件通知,請使用 [Defender 全面偵測回應 設定] 底下的 [Email 通知] 頁面,以取得新的和現有的通知規則。 深入了解

設定 Syslog 通知

本節說明如何設定適用於身分識別的Defender,透過設定的感測器將健康情況問題和安全性事件傳送至 Syslog 伺服器。

事件不會直接從適用於身分識別的Defender服務傳送至Syslog伺服器,而只會透過感測器傳送。

若要設定 Syslog 通知

  1. Microsoft Defender 全面偵測回應 中,選取 [設定身分>識別]

  2. [通知] 底下,選取 [Syslog 通知],然後切換 [ Syslog 服務 ] 選項。

  3. 取 [設定服務 ] 以開啟 [Syslog 服務 ] 窗格。

  4. 輸入下列詳細資料:

    • 感測器:選取您要傳送通知給 Syslog 伺服器的感測器。
    • 服務端點:輸入 Syslog 伺服器的 IP 位址或完整域名 (FQDN) ,然後輸入埠號碼。 您只能設定一個 Syslog 端點。
    • 傳輸選取 TCP 或 UDP) (傳輸通訊協定。
    • 格式:選取 RFC 3164 或 RFC 5424) (格式。
  5. 取 [傳送測試 SIEM 通知 ],然後確認您的 Syslog 基礎結構解決方案中已收到訊息。

  6. 當您確認測試正常運作時,請選取 [ 儲存]

  7. 設定 Syslog 服務之後,請選取要傳送至 Syslog 伺服器的通知類型,包括:

    • 偵測到新的安全性警示
    • 已更新現有的安全性警示
    • 偵測到新的健康情況問題

提示

在 TLS 模式中使用 Syslog 時,請務必在指定的感測器上安裝必要的憑證。

建立適用於身分識別的Defender SIEM記錄的自動化腳本

如果您要為適用於身分識別的 Defender SIEM 記錄建立自動化腳本,建議您使用 externalId 字 段來識別警示類型,而不是使用警示名稱。

雖然警示名稱可能偶爾會修改,但每個警示的 externalId 是永久的。 如需詳細資訊,請參閱 適用於身分識別的Defender SIEM記錄參考

如需詳細資訊, 請參閱設定事件收集