Microsoft Defender XDR の Defender for Identity 通知

Microsoft Defender for Identity は、電子メール通知または Syslog サーバーを介して、正常性の問題とセキュリティ アラートに関する通知を提供します。

この記事では、検出された正常性の問題やセキュリティ アラートを認識できるように Defender for Identity 通知を構成する方法について説明します。

メール通知を構成する

このセクションでは、Defender for Identity の正常性の問題またはセキュリティ アラートの電子メール通知を構成する方法について説明します。

1. Microsoft Defender XDR で、[設定]>[ID] を選択します。

2. 通知で必要に応じて、[正常性問題の通知] または [アラート通知] を選択します。

3. 受信者の電子メールの追加でメール通知を受信するメール アドレスを入力し、[+ 追加] を選択します。

Defender for Identity が正常性の問題またはセキュリティ アラートを検出するたびに、設定した受信者は詳細を記載した電子メール通知と詳細についての Microsoft Defender XDR へのリンクを受信します。

Syslog 通知を構成する

このセクションでは、構成されたセンサーを介して正常性の問題とセキュリティ イベントを Syslog サーバーに送信するように Defender for Identity を構成する方法について説明します。

イベントは、Defender for Identity サービスから Syslog サーバーに直接送信されるのではなく、センサー経由でのみ送信されます。

Syslog 通知を構成するには:

1. Microsoft Defender XDR で、[設定]>[ID] を選択します。

2. 通知で [Syslog 通知] を選択し、[Syslog サービス] オプションをオンに切り替えます。

3. [サービスの構成] を選択して [Syslog サービス] ウィンドウを開きます。

4. 次の詳細を入力します。

   • センサー: Syslog サーバーに通知を送信するセンサーを選択します
   • サービス エンドポイントとポート: Syslog サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、ポート番号を入力します。 Syslog エンドポイントは 1 つだけ構成できます。
   • トランスポート: トランスポート プロトコル (TCP または UDP) を選択します。
   • 形式: 形式 (RFC 3164 または RFC 5424) を選択します。

5. [テスト SIEM 通知の送信] を選択し、Syslog インフラストラクチャ ソリューションでメッセージが受信されたことを確認します。

6. テストが動作することを確認したら、[保存] を選択します。

7. Syslog サービスを構成したら、Syslog サーバーに送信する通知の種類を選択します。次の場合も含まれます。

   • 新しいセキュリティ アラートが検出された
   • 既存のセキュリティ アラートが更新された
   • 新しい正常性の問題が検出された

Defender for Identity SIEM ログ用の自動化スクリプトの作成

Defender for Identity SIEM ログ用の自動化スクリプトを作成する場合は、アラート名を使用するのではなく、externalId フィールドを使用してアラートの種類を識別することをお勧めします。

アラート名は変更されることがありますが、各アラートの externalId は永続的です。 詳細については、「Defender for Identity の SIEM ログ リファレンス」を参照してください。

関連するコンテンツ

詳細については、「イベント コレクションの構成」を参照してください。