Oznámení defenderu for Identity v XDR v programu Microsoft Defender

  • Článek

Microsoft Defender for Identity poskytuje oznámení o problémech se stavem a výstrahách zabezpečení, a to buď prostřednictvím e-mailových oznámení, nebo na server Syslog.

Tento článek popisuje, jak nakonfigurovat oznámení Defenderu for Identity, abyste věděli o všech zjištěných problémech se stavem nebo výstrahách zabezpečení.

Tip

Kromě e-mailových nebo syslogových oznámení doporučujeme, aby správci SOC používali Microsoft Sentinel k zobrazení všech upozornění na jednom portálu. Další informace najdete v tématu Integrace XDR v programu Microsoft Defender se službou Microsoft Sentinel. Pokud chcete integrovat další nástroje SIEM, přečtěte si téma Integrace nástrojů SIEM s XDR v programu Microsoft Defender.

Konfigurace e-mailových oznámení

Tato část popisuje, jak nakonfigurovat e-mailová oznámení pro problémy se stavem identity nebo výstrahy zabezpečení v programu Defender for Identity.

  1. V XDR v programu Microsoft Defender vyberte Nastavení> Identities.

  2. V části Oznámení vyberte Podle potřeby oznámení o problémech se stavem nebo upozornění .

  3. Do pole Přidat e-mail příjemce zadejte e-mailové adresy, do kterých chcete dostávat e-mailová oznámení, a vyberte + Přidat.

Pokaždé, když Defender for Identity zjistí problém se stavem nebo výstrahu zabezpečení, nakonfigurovaní příjemci dostanou e-mailové oznámení s podrobnostmi s odkazem na XDR v programu Microsoft Defender, kde najdete další podrobnosti.

Konfigurace oznámení syslogu

Tato část popisuje, jak nakonfigurovat Defender for Identity tak, aby odesílal problémy se stavem a události zabezpečení na server Syslog prostřednictvím nakonfigurovaného senzoru.

Události se neodesílají ze služby Defender for Identity přímo na váš server Syslog, ale pouze prostřednictvím senzoru.

Konfigurace oznámení Syslogu:

  1. V XDR v programu Microsoft Defender vyberte Nastavení> Identities.

  2. V části Oznámení vyberte oznámení Syslog a pak zapněte možnost služby Syslog.

  3. Výběrem možnosti Konfigurovat službu otevřete podokno služby Syslog.

  4. Zadejte následující údaje:

    • Senzor: Vyberte senzor, který chcete odeslat oznámení na server Syslog.
    • Koncový bod služby a port: Zadejte IP adresu nebo plně kvalifikovaný název domény (FQDN) pro server Syslog a zadejte číslo portu. Můžete nakonfigurovat pouze jeden koncový bod Syslogu.
    • Přenos: Vyberte přenosovýprotokol (TCP nebo UDP).
    • Formát: Vyberte formát (RFC 3164 nebo RFC 5424).

  5. Vyberte Odeslat testovací oznámení SIEM a ověřte, že zpráva byla přijata v řešení infrastruktury Syslog.

  6. Až ověříte, že test funguje, vyberte Uložit.

  7. Po konfiguraci služby Syslog vyberte typy oznámení, které se mají odeslat na server Syslog, včetně kdykoli:

    • Zjistí se nová výstraha zabezpečení.
    • Aktualizuje se existující výstraha zabezpečení.
    • Zjistí se nový problém se stavem.

Tip

Při práci se syslogem v režimu TLS nezapomeňte na určený senzor nainstalovat požadované certifikáty.

Vytváření automatizačních skriptů pro protokoly SIEM v programu Defender for Identity

Pokud vytváříte automatizační skripty pro protokoly SIEM v programu Defender for Identity, doporučujeme místo názvu upozornění použít pole externalId k identifikaci typu výstrahy.

Názvy výstrah se můžou občas změnit, ale externalId každé výstrahy je trvalé. Další informace najdete v referenčních informacích k protokolu SIEM v programu Defender for Identity SIEM.

Související obsah

Další informace naleznete v tématu Konfigurace shromažďování událostí.