Defender for Identity-meddelanden i Microsoft Defender XDR
Microsoft Defender för identitet tillhandahåller meddelanden om hälsoproblem och säkerhetsaviseringar, antingen via e-postaviseringar eller till en Syslog-server.
I den här artikeln beskrivs hur du konfigurerar Defender för identitetsmeddelanden så att du känner till eventuella hälsoproblem eller säkerhetsaviseringar som har identifierats.
Dricks
Förutom e-post- eller Syslog-meddelanden rekommenderar vi att SOC-administratörer använder Microsoft Sentinel för att visa alla aviseringar i en enda portal. Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel. Information om hur du integrerar andra SIEM-verktyg finns i Integrera dina SIEM-verktyg med Microsoft Defender XDR.
Konfigurera e-postaviseringar
I det här avsnittet beskrivs hur du konfigurerar e-postaviseringar för Problem med identitetshälsa eller säkerhetsaviseringar för Defender för identiteter.
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Meddelanden om hälsotillståndsproblem eller Aviseringsaviseringar efter behov.
I e-postmeddelandet Lägg till mottagare anger du den e-postadress (e-postadress) där du vill ta emot e-postmeddelanden och väljer + Lägg till.
När Defender för identitet identifierar ett hälsoproblem eller en säkerhetsavisering får konfigurerade mottagare ett e-postmeddelande med informationen, med en länk till Microsoft Defender XDR för mer information.
Kommentar
Aviseringssidan kommer att vara inaktuell senast den 15 november 2024. Använd sidan e-postaviseringar under Defender XDR-inställningar för nya och befintliga aviseringsregler. Läs mer
Konfigurera Syslog-meddelanden
I det här avsnittet beskrivs hur du konfigurerar Defender för identitet för att skicka hälsoproblem och säkerhetshändelser till en Syslog-server via en konfigurerad sensor.
Händelser skickas inte direkt från Defender for Identity-tjänsten till Syslog-servern, utan bara via sensorn.
Så här konfigurerar du Syslog-meddelanden:
I Microsoft Defender XDR väljer du Inställningar>Identiteter.
Under Meddelanden väljer du Syslog-meddelanden och sedan på alternativet Syslog-tjänst .
Välj Konfigurera tjänst för att öppna fönstret Syslog-tjänst .
Ange följande detaljerad information:
- Sensor: Välj den sensor som du vill skicka meddelanden till Syslog-servern
- Tjänstslutpunkt och port: Ange IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för Syslog-servern och ange sedan portnumret. Du kan bara konfigurera en Syslog-slutpunkt.
- Transport: Välj transportprotokollet (TCP eller UDP).
- Format: Välj formatet (RFC 3164 eller RFC 5424).
Välj Skicka SIEM-testavisering och kontrollera sedan att meddelandet tas emot i syslog-infrastrukturlösningen.
När du har bekräftat att testet fungerar väljer du Spara.
När du har konfigurerat Syslog-tjänsten väljer du de typer av meddelanden som ska skickas till Syslog-servern, inklusive när:
- En ny säkerhetsavisering har identifierats
- En befintlig säkerhetsavisering uppdateras
- Ett nytt hälsoproblem har identifierats
Dricks
När du arbetar med Syslog i TLS-läge måste du installera de certifikat som krävs på den avsedda sensorn.
Skapa automationsskript för Defender for Identity SIEM-loggar
Om du skapar automationsskript för Defender for Identity SIEM-loggar rekommenderar vi att du använder fältet externalId för att identifiera aviseringstypen i stället för att använda aviseringsnamnet.
Även om aviseringsnamn ibland kan ändras är externalId för varje avisering permanent. Mer information finns i SiEM-loggreferens för Defender for Identity.
Relaterat innehåll
Mer information finns i Konfigurera händelsesamling.