Microsoft Defender XDR'de Kimlik için Defender bildirimleri

Kimlik için Microsoft Defender, sistem durumu sorunları ve güvenlik uyarıları için e-posta bildirimleri aracılığıyla veya bir Syslog sunucusuna bildirim sağlar.

Bu makalede, kimlik için Defender bildirimlerini, algılanan sistem durumu sorunlarını veya güvenlik uyarılarını fark etmeniz için nasıl yapılandırabileceğiniz açıklanır.

Bahşiş

E-posta veya Syslog bildirimlerine ek olarak, SOC yöneticilerinin tüm uyarıları tek bir portalda görüntülemek için Microsoft Sentinel kullanmasını öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi. Diğer SIEM araçlarını tümleştirmek için bkz . SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme.

E-posta bildirimlerini yapılandırma

Bu bölümde, Kimlik için Defender sistem durumu sorunları veya güvenlik uyarıları için e-posta bildirimlerinin nasıl yapılandırıldığı açıklanmaktadır.

  1. Microsoft Defender XDR'de Ayarlar> Identities öğesini seçin.

  2. Bildirimler'in altında Sistem durumu sorunları bildirimleri'ni veya gerektiği gibi Uyarı bildirimleri'ni seçin.

  3. Alıcı e-postası ekle bölümünde, e-posta bildirimlerini almak istediğiniz e-posta adreslerini girin ve + Ekle'yi seçin.

Kimlik için Defender bir sistem durumu sorunu veya güvenlik uyarısı algıladiğinde, yapılandırılan alıcılar daha fazla ayrıntı için Microsoft Defender XDR bağlantısıyla birlikte ayrıntıları içeren bir e-posta bildirimi alır.

Syslog bildirimlerini yapılandırma

Bu bölümde, sistem durumu sorunlarını ve güvenlik olaylarını yapılandırılmış bir algılayıcı aracılığıyla syslog sunucusuna göndermek üzere Kimlik için Defender'ın nasıl yapılandırıldığı açıklanmaktadır.

Olaylar Kimlik için Defender hizmetinden doğrudan Syslog sunucunuza gönderilmez, yalnızca algılayıcı aracılığıyla gönderilir.

Syslog bildirimlerini yapılandırmak için:

  1. Microsoft Defender XDR'de Ayarlar> Identities öğesini seçin.

  2. Bildirimler'in altında Syslog bildirimleri'niseçin ve syslog hizmeti seçeneğini açın.

  3. Syslog hizmeti bölmesini açmak için Hizmeti yapılandır'ıseçin.

  4. Aşağıdakileri ayrıntıları girin:

    • Algılayıcı: Syslog sunucusuna bildirim göndermek istediğiniz algılayıcıyı seçin
    • Hizmet uç noktası ve Bağlantı Noktası: Syslog sunucusu için IP adresini veya tam etki alanı adını (FQDN) girin ve ardından bağlantı noktası numarasını girin. Yalnızca bir Syslog uç noktası yapılandırabilirsiniz.
    • Aktarım: Aktarım protokolunu (TCP veya UDP) seçin.
    • Biçim: Biçimi seçin (RFC 3164 veya RFC 5424).
  5. Test SIEM bildirimi gönder'i seçin ve ardından iletinin Syslog altyapı çözümünüzde alındığını doğrulayın.

  6. Testin çalıştığını onayladıktan sonra Kaydet'i seçin.

  7. Syslog hizmetini yapılandırdıktan sonra Aşağıdakiler dahil olmak üzere Syslog sunucunuza gönderilecek bildirim türlerini seçin:

    • Yeni bir güvenlik uyarısı algılandı
    • Mevcut bir güvenlik uyarısı güncelleştirildi
    • Yeni bir sistem durumu sorunu algılandı

Bahşiş

Syslog ile TLS modunda çalışırken, belirlenen algılayıcıya gerekli sertifikaları yüklediğinizden emin olun.

Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturma

Kimlik için Defender SIEM günlükleri için otomasyon betikleri oluşturuyorsanız, uyarı adını kullanmak yerine uyarı türünü tanımlamak için externalId alanını kullanmanızı öneririz.

Uyarı adları bazen değiştirilebilir ancak her uyarının externalId değeri kalıcı olur. Daha fazla bilgi için bkz . Kimlik için Defender SIEM günlük başvurusu.

Daha fazla bilgi için bkz . Olay koleksiyonunu yapılandırma.