Notificaciones de Defender for Identity en Microsoft Defender XDR

Microsoft Defender for Identity proporciona notificaciones para problemas de mantenimiento y alertas de seguridad, ya sea a través de notificaciones por correo electrónico o a un servidor de Syslog.

En este artículo se describe cómo configurar las notificaciones de Defender for Identity para que conozca los problemas de mantenimiento o las alertas de seguridad detectadas.

Sugerencia

Además de las notificaciones de correo electrónico o Syslog, se recomienda que los administradores de SOC usen Microsoft Sentinel para ver todas las alertas en un único portal. Para más información, consulte Integración de Microsoft Defender XDR con Microsoft Sentinel. Para integrar otras herramientas de SIEM, consulte Integración de herramientas SIEM con Microsoft Defender XDR.

Configurar notificaciones por correo electrónico

En esta sección se describe cómo configurar notificaciones por correo electrónico para problemas de estado de Defender for Identity o alertas de seguridad.

  1. En Microsoft Defender XDR, seleccione Configuraciones>Identidades.

  2. En Notificaciones, seleccione Notificaciones de problemas de mantenimiento o Notificaciones de alerta, según sea necesario.

  3. En Agregar correo electrónico de destinatario, escriba la o las direcciones de correo electrónico donde desea recibir notificaciones por correo electrónico y seleccione + Agregar.

Cada vez que Defender for Identity detecta un problema de mantenimiento o una alerta de seguridad, los destinatarios configurados reciben una notificación por correo electrónico con los detalles y un vínculo Microsoft Defender XDR para obtener más detalles.

Nota:

La página de notificaciones de alerta quedará en desuso el 15 de enero de 2024. Acceda a la página "Notificaciones por correo electrónico" en la configuración de Defender XDR para ver las reglas de notificaciones nuevas y existentes. Más información

Configurar notificaciones de Syslog

En esta sección se describe cómo configurar Defender for Identity para enviar problemas de mantenimiento y eventos de seguridad a un servidor de Syslog a través de un sensor configurado.

Los eventos no se envían desde el servicio Defender for Identity directamente al servidor de Syslog, sino solo a través del sensor.

Para configurar las notificaciones de Syslog:

  1. En Microsoft Defender XDR, seleccione Configuraciones>Identidades.

  2. En Notificaciones, seleccione Notificaciones de Syslog y, a continuación, active la opción Servicio Syslog.

  3. Seleccione Configurar servicio para abrir el panel Servicio Syslog.

  4. Introduzca la siguiente información:

    • Sensor: seleccione el sensor que desea que envíe notificaciones al servidor de Syslog.
    • Punto de conexión de servicio y Puerto: escriba la dirección IP o el nombre de dominio completo (FQDN) para el servidor syslog y, a continuación, escriba el número de puerto. Solo puede configurar un punto de conexión de Syslog.
    • Transporte: seleccione el protocolo de Transporte (TCP o UDP).
    • Formato: seleccione el formato (RFC 3164 o RFC 5424).
  5. Seleccione Enviar notificación SIEM de prueba y compruebe que el mensaje se recibe en la solución de infraestructura de Syslog.

  6. Cuando haya confirmado que la prueba funciona, seleccione Guardar.

  7. Después de configurar el servicio Syslog, seleccione los tipos de notificaciones que se van a enviar al servidor de Syslog, incluyendo:

    • Se ha detectado una nueva alerta de seguridad
    • Se ha actualizado una alerta de seguridad existente
    • Se ha detectado un problema de mantenimiento nuevo

Sugerencia

Al trabajar con Syslog en modo TLS, asegúrese de instalar los certificados necesarios en el sensor designado.

Creación de scripts de automatización para registros de SIEM de Defender for Identity

Si está creando registros de automatización o secuencias de comandos para Defender for Identity de SIEM, se recomienda usar el campo id. externo para identificar el tipo de alerta en lugar de usar el nombre de alerta.

Aunque los nombres de alerta pueden modificarse ocasionalmente, el id. externo de cada alerta es permanente. Para obtener más información, consulte Referencia del registro de SIEM de Defender for Identity.

Para obtener más información, consulte la información sobre configuración de la recolección de datos.