適用於身分識別的 Defender 通知 Microsoft Defender 全面偵測回應

適用於身分識別的 Microsoft Defender 會透過電子郵件通知或 Syslog 伺服器，提供健康情況問題和安全性警示的通知。

本文說明如何設定適用於身分識別的 Defender 通知，讓您知道偵測到任何健康情況問題或安全性警示。

提示

除了電子郵件或 Syslog 通知之外，我們建議 SOC 系統管理員使用 Microsoft Sentinel 在單一入口網站中檢視所有警示。如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 整合。若要整合其他 SIEM 工具，請參閱整合 SIEM 工具與 Microsoft Defender 全面偵測回應。

設定電子郵件通知

本節說明如何設定適用於身分識別的Defender健康情況問題或安全性警示的電子郵件通知。

每當適用於身分識別的 Defender 偵測到健康情況問題或安全性警示時，設定的收件者會收到包含詳細數據的電子郵件通知，並連結至 Microsoft Defender 全面偵測回應以取得詳細數據。

本節說明如何設定適用於身分識別的Defender，透過設定的感測器將健康情況問題和安全性事件傳送至 Syslog 伺服器。

事件不會直接從適用於身分識別的 Defender 服務傳送到 Syslog 伺服器，而只會透過感測器傳送。

若要設定 Syslog 通知：

在 [Microsoft Defender 全面偵測回應] 中，選取 [設定>][實體]。
在 [通知] 底下，選取 [Syslog 通知]，然後切換 [Syslog 服務] 選項。
選取 [ 設定服務 ] 以開啟 [Syslog 服務 ] 窗格。
輸入下列詳細資料：
- 感測器：選取您要將通知傳送至 Syslog 伺服器的感測器
- 服務端點 和埠：輸入 Syslog 伺服器的 IP 位址或完整功能變數名稱（FQDN），然後輸入埠號碼。您只能設定一個 Syslog 端點。
- 傳輸：選取傳輸通訊協定（TCP 或 UDP）。
- 格式：選取格式（RFC 3164 或 RFC 5424）。
選取 [ 傳送測試 SIEM 通知 ]，然後確認 Syslog 基礎結構解決方案中已收到訊息。
當您確認測試正常運作時，請選取 [ 儲存]。
設定 Syslog 服務之後，請選取要傳送至 Syslog 伺服器的通知類型，包括：
- 偵測到新的安全性警示
- 已更新現有的安全性警示
- 偵測到新的健康情況問題

提示

在 TLS 模式中使用 Syslog 時，請務必在指定的感測器上安裝必要的憑證。

如果您要為適用於身分識別的 Defender SIEM 記錄建立自動化腳本，建議您使用 externalId 字段來識別警示類型，而不是使用警示名稱。

雖然偶爾可能會修改警示名稱， 但每個警示的externalId 是永久的。如需詳細資訊，請參閱適用於身分識別的Defender SIEM記錄參考。

如需詳細資訊，請參閱設定事件集合。