Compartir vía


Obtención de notificaciones de incidentes por correo electrónico en XDR de Microsoft Defender

Se aplica a:

  • Microsoft Defender XDR

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Puede configurar XDR de Microsoft Defender para notificar a su personal un correo electrónico sobre nuevos incidentes o actualizaciones de incidentes existentes. Puede elegir obtener notificaciones basadas en:

  • Gravedad de la alerta
  • Orígenes de alertas
  • Grupo de dispositivos

Elija recibir notificaciones por correo electrónico solo para un origen de servicio específico: puede seleccionar fácilmente orígenes de servicio específicos para los que desea obtener notificaciones por correo electrónico.

Obtener más granularidad con orígenes de detección específicos: solo puede obtener notificaciones para un origen de detección específico.

Establecer la gravedad por detección o origen de servicio: puede elegir obtener notificaciones por correo electrónico solo en gravedades específicas por origen. Por ejemplo, puede recibir notificaciones de alertas medias y altas para EDR y todas las gravedades de los expertos de Microsoft Defender.

La notificación por correo electrónico contiene detalles importantes sobre el incidente, como el nombre del incidente, la gravedad y las categorías, entre otros. También puede ir directamente al incidente e iniciar el análisis de inmediato. Para obtener más información, consulte Investigación de incidentes.

Puede agregar o quitar destinatarios en las notificaciones por correo electrónico. Los nuevos destinatarios reciben notificaciones sobre incidentes después de agregarse.

Nota:

Necesita el permiso Administrar configuración de seguridad para configurar las opciones de notificación por correo electrónico. Si ha elegido usar la administración básica de permisos, los usuarios con roles administrador de seguridad o administrador global pueden configurar las notificaciones por correo electrónico.

Del mismo modo, si su organización usa el control de acceso basado en rol (RBAC), solo puede crear, editar, eliminar y recibir notificaciones basadas en grupos de dispositivos que pueda administrar.

Nota:

Microsoft recomienda usar roles con menos permisos para mejorar la seguridad. El rol De administrador global, que tiene muchos permisos, solo se debe usar en situaciones de emergencia cuando no cabe ningún otro rol.

Creación de una regla para notificaciones por correo electrónico

Siga estos pasos para crear una nueva regla y personalizar la configuración de notificaciones por correo electrónico.

  1. Vaya a XDR de Microsoft Defender en el panel de navegación y seleccione Configuración Notificaciones > de correo electrónico de incidentes XDR > de Microsoft Defender.

  2. Seleccione Agregar elemento.

  3. En la página Aspectos básicos , escriba el nombre de la regla y una descripción y, a continuación, seleccione Siguiente.

  4. En la página Configuración de notificación , configure:

    • Gravedad de alerta: elija los niveles de gravedad de alerta que desencadenarán una notificación de incidente. Por ejemplo, si solo desea que se le informe sobre incidentes de gravedad alta, seleccione Alto.
    • Ámbito del grupo de dispositivos: puede especificar todos los grupos de dispositivos o seleccionarlos en la lista de grupos de dispositivos del inquilino.
    • Enviar solo una notificación por incidente : seleccione si desea una notificación por incidente.
    • Incluir el nombre de la organización en el correo electrónico: seleccione si desea que el nombre de la organización aparezca en la notificación por correo electrónico.
    • Incluir vínculo del portal específico del inquilino: seleccione si desea agregar un vínculo con el identificador de inquilino en la notificación de correo electrónico para acceder a un inquilino de Microsoft 365 específico.

    Captura de pantalla de la página Configuración de notificaciones para notificaciones por correo electrónico de incidentes en el portal de Microsoft Defender.

  5. Seleccione Siguiente. En la página Destinatarios , agregue las direcciones de correo electrónico que recibirán las notificaciones de incidentes. Seleccione Agregar después de escribir cada nueva dirección de correo electrónico. Para probar las notificaciones y asegurarse de que los destinatarios las reciben en las bandejas de entrada, seleccione Enviar correo electrónico de prueba.

  6. Seleccione Siguiente. En la página Revisar regla , revise la configuración de la regla y, a continuación, seleccione Crear regla. Los destinatarios comenzarán a recibir notificaciones de incidentes por correo electrónico en función de la configuración.

Para editar una regla existente, selecciónela en la lista de reglas. En el panel con el nombre de la regla, seleccione Editar regla y realice los cambios en las páginas Aspectos básicos, Configuración de notificación y Destinatarios .

Para eliminar una regla, selecciónela en la lista de reglas. En el panel con el nombre de la regla, seleccione Eliminar.

Una vez que reciba la notificación, puede ir directamente al incidente e iniciar la investigación de inmediato. Para obtener más información sobre cómo investigar incidentes, consulte Investigación de incidentes en XDR de Microsoft Defender.

Siguientes pasos

Vea también