Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Atualmente, esta funcionalidade só é suportada pelo sensor do Defender para Identidade versão 2.x.
Microsoft Defender para Identidade fornece notificações para problemas de estado de funcionamento e alertas de segurança, seja através de notificações por email ou para um servidor Syslog.
Este artigo descreve como configurar notificações do Defender para Identidade para que tenha conhecimento de quaisquer problemas de estado de funcionamento ou alertas de segurança detetados.
Dica
Além das notificações de e-mail ou do Syslog, recomendamos que os administradores do SOC utilizem Microsoft Sentinel para ver todos os alertas num único portal. Para obter mais informações, veja Microsoft Defender XDR integração com Microsoft Sentinel. Para integrar outras ferramentas SIEM, veja Integrar as ferramentas SIEM com Microsoft Defender XDR.
Configurar notificações por email
Esta secção descreve como configurar notificações por email para problemas de estado de funcionamento do Defender para Identidade.
Em Microsoft Defender XDR, selecione Definições Identidades>.
Em Notificações, selecione Notificações de problemas de estado de funcionamento.
No e-mail Adicionar destinatário, introduza o(es) endereço(es) onde pretende receber notificações por email e selecione + Adicionar.
Sempre que o Defender para Identidade detetar um problema de estado de funcionamento, os destinatários configurados recebem uma notificação por e-mail com os detalhes, com uma ligação para Microsoft Defender XDR para obter mais detalhes.
Observação
Para receber notificações por email sobre Incidentes, utilize a página Notificações de Email em Definições de Defender XDR para regras de notificações novas e existentes. Saiba mais.
Configurar notificações do Syslog
Esta secção descreve como configurar o Defender para Identidade para enviar problemas de estado de funcionamento e eventos de segurança para um servidor Syslog através de um sensor configurado.
Os eventos não são enviados diretamente do serviço Defender para Identidade para o servidor Syslog, mas apenas através do sensor.
Para configurar as notificações do Syslog:
Em Microsoft Defender XDR, selecione Definições Identidades>.
Em Notificações, selecione Notificações do Syslog e, em seguida, ative a opção de serviço Syslog .
Selecione Configurar serviço para abrir o painel do serviço Syslog.
Introduza os seguintes detalhes:
- Sensor: selecione o sensor que pretende enviar notificações para o servidor Syslog.
- Ponto final de serviço e Porta: introduza o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor Syslog e, em seguida, introduza o número da porta. Só pode configurar um ponto final do Syslog.
- Transporte: selecione o Protocolo de transporte (TCP ou UDP).
- Formato: selecione o formato (RFC 3164 ou RFC 5424).
Selecione Enviar notificação SIEM de teste e, em seguida, verifique se a mensagem foi recebida na sua solução de infraestrutura do Syslog.
Quando confirmar que o teste funciona, selecione Guardar.
Depois de configurar o serviço Syslog, selecione os tipos de notificações a enviar para o servidor Syslog, incluindo sempre que:
- Foi detetado um novo alerta de segurança
- Um alerta de segurança existente é atualizado
- Foi detetado um novo problema de estado de funcionamento
Dica
Ao trabalhar com o Syslog no modo TLS, certifique-se de que instala os certificados necessários no sensor designado.
Criar scripts de automatização para registos SIEM do Defender para Identidade
Se estiver a criar scripts de automatização para registos SIEM do Defender para Identidade, recomendamos que utilize o campo externalId para identificar o tipo de alerta em vez de utilizar o nome do alerta.
Embora os nomes de alerta possam ocasionalmente ser modificados, o externalId de cada alerta é permanente. Para obter mais informações, veja Referência do registo SIEM do Defender para Identidade.
Conteúdo relacionado
Para obter mais informações, veja Configurar a recolha de eventos.