Notificações do Defender para Identidade no Microsoft Defender XDR
Artigo
Microsoft Defender para Identidade fornece notificações para problemas de estado de funcionamento e alertas de segurança, seja através de notificações por email ou para um servidor Syslog.
Este artigo descreve como configurar notificações do Defender para Identidade para que tenha conhecimento de quaisquer problemas de estado de funcionamento ou alertas de segurança detetados.
Esta secção descreve como configurar notificações por email para problemas de estado de funcionamento do Defender para Identidade ou alertas de segurança.
Em Notificações, selecione Notificações de problemas de estado de funcionamento ou Notificações de alerta, conforme necessário.
No e-mail Adicionar destinatário, introduza o(es) endereço(es) onde pretende receber notificações por email e selecione + Adicionar.
Sempre que o Defender para Identidade detetar um problema de estado de funcionamento ou um alerta de segurança, os destinatários configurados recebem uma notificação por e-mail com os detalhes, com uma ligação para Microsoft Defender XDR para obter mais detalhes.
Observação
A página de notificações de alertas será preterida até 15 de janeiro de 2025. Utilize a página "Notificações Email" em definições de Defender XDR para regras de notificações novas e existentes.
Saiba Mais
Configurar notificações do Syslog
Esta secção descreve como configurar o Defender para Identidade para enviar problemas de estado de funcionamento e eventos de segurança para um servidor Syslog através de um sensor configurado.
Os eventos não são enviados diretamente do serviço Defender para Identidade para o servidor Syslog, mas apenas através do sensor.
Em Notificações, selecione Notificações do Syslog e, em seguida, ative a opção de serviço Syslog .
Selecione Configurar serviço para abrir o painel do serviço Syslog.
Introduza os seguintes detalhes:
Sensor: selecione o sensor para o qual pretende enviar notificações para o servidor Syslog
Ponto final de serviço e Porta: introduza o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor Syslog e, em seguida, introduza o número da porta. Só pode configurar um ponto final do Syslog.
Transporte: selecione o Protocolo de transporte (TCP ou UDP).
Formato: selecione o formato (RFC 3164 ou RFC 5424).
Selecione Enviar notificação SIEM de teste e, em seguida, verifique se a mensagem foi recebida na sua solução de infraestrutura do Syslog.
Quando confirmar que o teste funciona, selecione Guardar.
Depois de configurar o serviço Syslog, selecione os tipos de notificações a enviar para o servidor Syslog, incluindo sempre que:
Foi detetado um novo alerta de segurança
Um alerta de segurança existente é atualizado
Foi detetado um novo problema de estado de funcionamento
Dica
Ao trabalhar com o Syslog no modo TLS, certifique-se de que instala os certificados necessários no sensor designado.
Criar scripts de automatização para registos SIEM do Defender para Identidade
Se estiver a criar scripts de automatização para registos SIEM do Defender para Identidade, recomendamos que utilize o campo externalId para identificar o tipo de alerta em vez de utilizar o nome do alerta.