Microsoft Defender XDR'de Kimlik için Defender bildirimleri
Kimlik için Microsoft Defender, sistem durumu sorunları ve güvenlik uyarıları için e-posta bildirimleri aracılığıyla veya bir Syslog sunucusuna bildirim sağlar.
Bu makalede, kimlik için Defender bildirimlerini, algılanan sistem durumu sorunlarını veya güvenlik uyarılarını fark etmeniz için nasıl yapılandırabileceğiniz açıklanır.
İpucu
E-posta veya Syslog bildirimlerine ek olarak, SOC yöneticilerinin tüm uyarıları tek bir portalda görüntülemek için Microsoft Sentinel kullanmasını öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi. Diğer SIEM araçlarını tümleştirmek için bkz . SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme.
E-posta bildirimlerini yapılandırma
Bu bölümde, Kimlik için Defender sistem durumu sorunları veya güvenlik uyarıları için e-posta bildirimlerinin nasıl yapılandırıldığı açıklanmaktadır.
Bildirimler'in altında Sistem durumu sorunları bildirimleri'ni veya gerektiği gibi Uyarı bildirimleri'ni seçin.
Alıcı e-postası ekle bölümünde, e-posta bildirimlerini almak istediğiniz e-posta adreslerini girin ve + Ekle'yi seçin.
Kimlik için Defender bir sistem durumu sorunu veya güvenlik uyarısı algıladiğinde, yapılandırılan alıcılar daha fazla ayrıntı için Microsoft Defender XDR bağlantısıyla birlikte ayrıntıları içeren bir e-posta bildirimi alır.
Not
Uyarı bildirimleri sayfası 15 Ocak 2024'e kadar kullanımdan kaldırılacaktır. Yeni ve mevcut bildirim kuralları için Lütfen Defender XDR ayarları altındaki 'E-posta Bildirimleri' sayfasını kullanın. Daha fazla bilgi edinin
Syslog bildirimlerini yapılandırma
Bu bölümde, sistem durumu sorunlarını ve güvenlik olaylarını yapılandırılmış bir algılayıcı aracılığıyla syslog sunucusuna göndermek üzere Kimlik için Defender'ın nasıl yapılandırıldığı açıklanmaktadır.
Olaylar Kimlik için Defender hizmetinden doğrudan Syslog sunucunuza gönderilmez, yalnızca algılayıcı aracılığıyla gönderilir.
Syslog bildirimlerini yapılandırmak için:
Bildirimler'in altında Syslog bildirimleri'ni seçin ve syslog hizmeti seçeneğini açın.
Syslog hizmeti bölmesini açmak için Hizmeti yapılandır'ı seçin.
Aşağıdakileri ayrıntıları girin:
- Algılayıcı: Syslog sunucusuna bildirim göndermek istediğiniz algılayıcıyı seçin
- Hizmet uç noktası ve Bağlantı Noktası: Syslog sunucusu için IP adresini veya tam etki alanı adını (FQDN) girin ve ardından bağlantı noktası numarasını girin. Yalnızca bir Syslog uç noktası yapılandırabilirsiniz.
- Aktarım: Aktarım protokolunu (TCP veya UDP) seçin.
- Biçim: Biçimi seçin (RFC 3164 veya RFC 5424).
Test SIEM bildirimi gönder'i seçin ve ardından iletinin Syslog altyapı çözümünüzde alındığını doğrulayın.
Testin çalıştığını onayladıktan sonra Kaydet'i seçin.
Syslog hizmetini yapılandırdıktan sonra Aşağıdakiler dahil olmak üzere Syslog sunucunuza gönderilecek bildirim türlerini seçin:
- Yeni bir güvenlik uyarısı algılandı
- Mevcut bir güvenlik uyarısı güncelleştirildi
- Yeni bir sistem durumu sorunu algılandı
İpucu
Syslog ile TLS modunda çalışırken, belirlenen algılayıcıya gerekli sertifikaları yüklediğinizden emin olun.
Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturma
Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturuyorsanız, uyarı adını kullanmak yerine uyarı türünü tanımlamak için externalId alanını kullanmanızı öneririz.
Uyarı adları bazen değiştirilebilir ancak her uyarının externalId değeri kalıcı olur. Daha fazla bilgi için bkz . Kimlik için Defender SIEM günlük başvurusu.
İlgili içerik
Daha fazla bilgi için bkz . Olay koleksiyonunu yapılandırma.