Defender for Identity-meldingen in Microsoft Defender XDR

Microsoft Defender for Identity biedt meldingen voor statusproblemen en beveiligingswaarschuwingen, via e-mailmeldingen of op een Syslog-server.

In dit artikel wordt beschreven hoe u Defender for Identity-meldingen configureert, zodat u op de hoogte bent van eventuele statusproblemen of beveiligingswaarschuwingen die zijn gedetecteerd.

Tip

Naast e-mail- of Syslog-meldingen raden we aan dat SOC-beheerders Microsoft Sentinel gebruiken om alle waarschuwingen in één portal weer te geven. Zie Microsoft Defender XDR-integratie met Microsoft Sentinel voor meer informatie. Zie Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR om andere SIEM-hulpprogramma's te integreren.

E-mailmeldingen configureren

In deze sectie wordt beschreven hoe u e-mailmeldingen configureert voor problemen met de status van Defender for Identity of beveiligingswaarschuwingen.

1. Selecteer in Microsoft Defender XDR Instellingen> Identities.

2. Selecteer onder Meldingen waar nodig statusproblemen of waarschuwingsmeldingen.

3. Voer in het e-mailadres toevoegen het e-mailadres(en) in waar u e-mailmeldingen wilt ontvangen en selecteer + Toevoegen.

Wanneer Defender for Identity een statusprobleem of beveiligingswaarschuwing detecteert, ontvangen geconfigureerde geadresseerden een e-mailmelding met de details, met een koppeling naar Microsoft Defender XDR voor meer informatie.

Syslog-meldingen configureren

In deze sectie wordt beschreven hoe u Defender for Identity configureert voor het verzenden van statusproblemen en beveiligingsgebeurtenissen naar een Syslog-server via een geconfigureerde sensor.

Gebeurtenissen worden niet rechtstreeks vanuit de Defender for Identity-service naar uw Syslog-server verzonden, maar alleen via de sensor.

Syslog-meldingen configureren:

1. Selecteer in Microsoft Defender XDR Instellingen> Identities.

2. Selecteer onder Meldingen Syslog-meldingen en schakel vervolgens de optie Syslog-servicein.

3. Selecteer Service configureren om het deelvenster Syslog-service te openen.

4. Voer de volgende gegevens in:

   • Sensor: Selecteer de sensor die u meldingen wilt verzenden naar de Syslog-server
   • Service-eindpunt en -poort: voer het IP-adres of de FQDN (Fully Qualified Domain Name) voor de Syslog-server in en voer vervolgens het poortnummer in. U kunt slechts één Syslog-eindpunt configureren.
   • Transport: Selecteer het transportprotocol (TCP of UDP).
   • Indeling: Selecteer de notatie (RFC 3164 of RFC 5424).

5. Selecteer SIEM-melding verzenden en controleer vervolgens of het bericht is ontvangen in uw Syslog-infrastructuuroplossing.

6. Wanneer u hebt bevestigd dat de test werkt, selecteert u Opslaan.

7. Nadat u de Syslog-service hebt geconfigureerd, selecteert u de typen meldingen die u naar uw Syslog-server wilt verzenden, inclusief wanneer:

   • Er wordt een nieuwe beveiligingswaarschuwing gedetecteerd
   • Een bestaande beveiligingswaarschuwing wordt bijgewerkt
   • Er is een nieuw statusprobleem gedetecteerd

Tip

Wanneer u met Syslog in de TLS-modus werkt, moet u de vereiste certificaten installeren op de aangewezen sensor.

Automatiseringsscripts maken voor DEFENDER for Identity SIEM-logboeken

Als u automatiseringsscripts maakt voor Defender for Identity SIEM-logboeken, raden we u aan het veld externalId te gebruiken om het waarschuwingstype te identificeren in plaats van de naam van de waarschuwing te gebruiken.

Hoewel waarschuwingsnamen af en toe kunnen worden gewijzigd, is de externalId van elke waarschuwing permanent. Zie Defender for Identity SIEM-logboekverwijzing voor meer informatie.

Gerelateerde inhoud

Zie Gebeurtenisverzameling configureren voor meer informatie.