Abrufen von Incidentbenachrichtigungen per E-Mail in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Sie können Microsoft Defender XDR einrichten, um Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen vorhandener Vorfälle zu benachrichtigen. Sie können Benachrichtigungen basierend auf folgenden Optionen erhalten:
- Warnungsschweregrad
- Warnungsquellen
- Gerätegruppe
E-Mail-Benachrichtigungen nur für eine bestimmte Dienstquelle erhalten: Sie können ganz einfach bestimmte Dienstquellen auswählen, für die Sie E-Mail-Benachrichtigungen erhalten möchten.
Erhalten Sie mehr Granularität mit bestimmten Erkennungsquellen: Sie können nur Benachrichtigungen für eine bestimmte Erkennungsquelle erhalten.
Festlegen des Schweregrads pro Erkennungs- oder Dienstquelle: Sie können auswählen, dass E-Mail-Benachrichtigungen nur für bestimmte Schweregrade pro Quelle abgerufen werden sollen. Sie können z. B. bei Warnungen mit mittlerer und hoher Priorität für EDR und allen Schweregraden für Microsoft Defender Experts benachrichtigt werden.
Die E-Mail-Benachrichtigung enthält wichtige Details zum Incident, z. B. Den Incidentnamen, den Schweregrad und die Kategorien. Sie können auch direkt zum Incident wechseln und ihre Analyse sofort starten. Weitere Informationen finden Sie unter Untersuchen von Incidents.
Sie können Empfänger in den E-Mail-Benachrichtigungen hinzufügen oder entfernen. Neue Empfänger werden über Vorfälle benachrichtigt, nachdem sie hinzugefügt wurden.
Hinweis
Sie benötigen die Berechtigung Sicherheitseinstellungen verwalten , um E-Mail-Benachrichtigungseinstellungen zu konfigurieren. Wenn Sie sich für die grundlegende Berechtigungsverwaltung entschieden haben, können Benutzer mit den Rollen "Sicherheitsadministrator" oder "Globaler Administrator" E-Mail-Benachrichtigungen konfigurieren.
Wenn Ihre Organisation die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet, können Sie nur Benachrichtigungen basierend auf Gerätegruppen erstellen, bearbeiten, löschen und empfangen, die Sie verwalten dürfen.
Hinweis
Microsoft empfiehlt die Verwendung von Rollen mit weniger Berechtigungen, um die Sicherheit zu verbessern. Die Rolle "Globaler Administrator", die über viele Berechtigungen verfügt, sollte nur in Notfällen verwendet werden, wenn keine andere Rolle passt.
Erstellen einer Regel für E-Mail-Benachrichtigungen
Führen Sie die diese Schritte aus, um eine neue Regel zu erstellen und E-Mail-Benachrichtigungseinstellungen anzupassen.
Navigieren Sie im Navigationsbereich zu Microsoft Defender XDR , und wählen Sie Einstellungen > E-Mail-Benachrichtigungen für Microsoft Defender XDR-Vorfälle > aus.
Wählen Sie Element hinzufügen aus.
Geben Sie auf der Seite Grundlagen den Regelnamen und eine Beschreibung ein, und wählen Sie dann Weiter aus.
Konfigurieren Sie auf der Seite Benachrichtigungseinstellungen Folgendes:
- Benachrichtigungsschweregrad – Wählen Sie den Benachrichtigungsschweregrad aus, der eine Vorfallbenachrichtigung auslösen wird. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie Hoch aus.
- Gerätegruppenbereich – Sie können alle Gerätegruppen angeben, oder aus der Liste der Gerätegruppen in Ihrem Mandanten auswählen.
- Nur eine Benachrichtigung pro Incident senden : Wählen Sie diese Option aus, wenn Sie eine Benachrichtigung pro Incident wünschen.
- Organisationsnamens in der E-Mail einschließen – Wählen Sie dies aus, wenn Sie wollen, dass der Name Ihrer Organisation in der E-Mail-Benachrichtigung angezeigt wird.
- Mandantenspezifischen Portallink einschließen – Wählen Sie dies aus, wenn Sie einen Link mit der Mandanten-ID in der E-Mail-Benachrichtigung für den Zugriff auf einen bestimmten Microsoft 365-Mandanten hinzufügen wollen.
Wählen Sie Weiter aus. Fügen Sie auf der Seite Empfänger die E-Mail-Adressen hinzu, die die Incidentbenachrichtigungen erhalten. Wählen Sie Hinzufügen aus, nachdem Sie jede neue E-Mail-Adresse eingegeben haben. Um Benachrichtigungen zu testen und sicherzustellen, dass die Empfänger sie in den Posteingängen erhalten, wählen Sie Test-E-Mail senden aus.
Wählen Sie Weiter aus. Überprüfen Sie auf der Seite Regel überprüfen die Einstellungen der Regel, und wählen Sie dann Regel erstellen aus. Empfänger erhalten basierend auf den Einstellungen Incidentbenachrichtigungen per E-Mail.
Um eine vorhandene Regel zu bearbeiten, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen Regel bearbeiten aus, und nehmen Sie Ihre Änderungen auf den Seiten Grundlagen, Benachrichtigungseinstellungen und Empfänger vor.
Um eine Regel zu löschen, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen Löschen aus.
Sobald Sie die Benachrichtigung erhalten haben, können Sie direkt zum Incident wechseln und sofort mit der Untersuchung beginnen. Weitere Informationen zum Untersuchen von Vorfällen finden Sie unter Untersuchen von Vorfällen in Microsoft Defender XDR.
Nächste Schritte
- Abrufen von E-Mail-Benachrichtigungen zu Antwortaktionen
- Abrufen von E-Mail-Benachrichtigungen zu neuen Berichten in der Bedrohungsanalyse