Intégrer à Syslog

Notes

L’expérience décrite dans cette page est également accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender. Les documents associés à la nouvelle expérience peuvent être consultés ici. Pour plus d’informations sur Microsoft Defender pour Identity et pour savoir quand d’autres fonctionnalités seront disponibles dans Microsoft 365 Defender, consultez Microsoft Defender pour Identity dans Microsoft 365 Defender.

Microsoft Defender pour Identity pouvez vous avertir lorsqu’il détecte des activités suspectes en envoyant des alertes de sécurité et d’intégrité à votre serveur Syslog via un capteur nommé.

Notes

Pour savoir comment intégrer Defender pour Identity à Microsoft Sentinel, consultez Microsoft 365 Defender’intégration à Microsoft Sentinel.

Une fois que vous avez activé les notifications Syslog, vous pouvez définir les éléments suivants :

Champ Description
capteur Sélectionnez un capteur désigné comme responsable de l’agrégation de tous les événements Syslog et de leur transfert vers votre serveur SIEM.
Point de terminaison de service Adresse IP ou nom DNS du serveur Syslog. Changez éventuellement le numéro de port (514 par défaut).

Vous ne pouvez configurer qu’un seul point de terminaison Syslog.
Transport Peut être UDP, TCP ou TLS (Syslog sécurisé)
Format Il s’agit du format utilisé par Defender pour Identity pour envoyer des événements au serveur SIEM ( RFC 5424 ou RFC 3164).
  1. Avant de configurer les notifications Syslog, collaborez avec votre administrateur SIEM pour connaître les informations suivantes :

    • Nom de domaine complet ou adresse IP du serveur SIEM
    • Port sur lequel écoute le serveur SIEM
    • Mode de transport à utiliser : UDP, TCP ou TLS (Syslog sécurisé)
    • Format sous lequel envoyer les données, RFC 3164 ou 5424
  2. Ouvrez le portail Defender pour Identity.

  3. Cliquez sur Paramètres.

  4. Dans le sous-menu Notifications et rapports, sélectionnez Notifications.

  5. Dans l’option Service Syslog, cliquez sur Configurer.

  6. Sélectionnez le Capteur.

  7. Entrez l’URL du Point de terminaison de service.

  8. Sélectionnez le protocole de Transport (TCP ou UDP).

  9. Sélectionnez le format (RFC 3164 ou RFC 5424).

  10. Sélectionnez Envoyer un message de test à syslog, puis vérifiez que le message est reçu dans votre solution d’infrastructure Syslog.

  11. Cliquez sur Save.

Pour passer en revue ou modifier vos paramètres Syslog.

  1. Cliquez sur Notifications, puis, sous Notifications Syslog, cliquez sur Configurer et entrez les informations suivantes :

    Defender for Identity Syslog server settings image

  2. Vous pouvez sélectionner les événements à envoyer à votre serveur Syslog. Sous Notifications Syslog, spécifiez quelles notifications doivent être envoyées à votre serveur Syslog : nouvelles alertes de sécurité, alertes de sécurité mises à jour et nouveaux problèmes d’intégrité.

Notes

  • Si vous envisagez de créer une automatisation ou des scripts pour les journaux SIEM Defender pour Identity, nous vous recommandons d’utiliser le champ externalId pour identifier le type d’alerte au lieu d’utiliser le nom de l’alerte à cet effet. Les noms d’alerte peuvent parfois être modifiés alors que l’externalId de chaque alerte est définitif. Pour plus d’informations, consultez informations de référence sur le journal SIEM Defender pour Identity.

  • Lorsque vous utilisez Syslog en mode TLS, veillez à installer les certificats requis sur le capteur désigné.

Voir aussi