Partager via


Recevoir des notifications d’incident par e-mail dans Microsoft Defender XDR

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vous pouvez configurer Microsoft Defender XDR pour informer votre personnel par e-mail de nouveaux incidents ou de mises à jour d’incidents existants. Vous pouvez choisir d’obtenir des notifications en fonction des points suivants :

  • Gravité de l’alerte
  • Sources d’alerte
  • Groupe d’appareils

Choisissez de recevoir des notifications par e-mail uniquement pour une source de service spécifique : vous pouvez facilement sélectionner des sources de service spécifiques pour lesquelles vous souhaitez recevoir des notifications par e-mail.

Obtenir plus de granularité avec des sources de détection spécifiques : vous pouvez recevoir des notifications uniquement pour une source de détection spécifique.

Définir la gravité par détection ou source de service : vous pouvez choisir d’obtenir des notifications par e-mail uniquement sur des gravités spécifiques par source. Par exemple, vous pouvez recevoir une notification pour les alertes moyenne et élevée pour EDR et toutes les gravités pour Microsoft Defender Experts.

La notification par e-mail contient des détails importants sur l’incident, comme le nom de l’incident, la gravité et les catégories, entre autres. Vous pouvez également accéder directement à l’incident et commencer votre analyse immédiatement. Pour plus d’informations, consultez Examiner les incidents.

Vous pouvez ajouter ou supprimer des destinataires dans les notifications par e-mail. Les nouveaux destinataires sont avertis des incidents après leur ajout.

Notes

Vous avez besoin de l’autorisation Gérer les paramètres de sécurité pour configurer les paramètres de notification par e-mail. Si vous avez choisi d’utiliser la gestion des autorisations de base, les utilisateurs disposant des rôles Administrateur de la sécurité ou Administrateur général peuvent configurer des notifications par e-mail.

De même, si votre organisation utilise le contrôle d’accès en fonction du rôle (RBAC), vous pouvez uniquement créer, modifier, supprimer et recevoir des notifications basées sur des groupes d’appareils que vous êtes autorisé à gérer.

Notes

Microsoft recommande d’utiliser des rôles avec moins d’autorisations pour une meilleure sécurité. Le rôle Administrateur général, qui dispose de nombreuses autorisations, doit être utilisé uniquement en cas d’urgence lorsqu’aucun autre rôle n’est approprié.

Créer une règle pour les notifications par e-mail

Suivez ces étapes pour créer une règle et personnaliser les paramètres de notification par courrier électronique.

  1. Accédez à Microsoft Defender XDR dans le volet de navigation, sélectionnez Paramètres Notifications > par e-mail d’incident Microsoft Defender XDR>.

  2. Sélectionnez Ajouter un élément.

  3. Dans la page Informations de base , tapez le nom de la règle et une description, puis sélectionnez Suivant.

  4. Dans la page Paramètres de notification , configurez :

    • Gravité de l’alerte : choisissez les gravités d’alerte qui déclencheront une notification d’incident. Par exemple, si vous souhaitez uniquement être informé des incidents de gravité élevée, sélectionnez Élevé.
    • Étendue du groupe d’appareils : vous pouvez spécifier tous les groupes d’appareils ou sélectionner dans la liste des groupes d’appareils de votre client.
    • Envoyer une seule notification par incident : sélectionnez si vous souhaitez une notification par incident.
    • Inclure le nom de l’organisation dans l’e-mail : sélectionnez si vous souhaitez que le nom de votre organisation apparaisse dans la notification par courrier électronique.
    • Inclure un lien de portail propre au client : sélectionnez si vous souhaitez ajouter un lien avec l’ID de client dans la notification par courrier électronique pour accéder à un client Microsoft 365 spécifique.

    Capture d’écran de la page Paramètres de notification pour les notifications par e-mail d’incident dans le portail Microsoft Defender.

  5. Sélectionnez Suivant. Dans la page Destinataires , ajoutez les adresses e-mail qui recevront les notifications d’incident. Sélectionnez Ajouter après avoir tapé chaque nouvelle adresse e-mail. Pour tester les notifications et vous assurer que les destinataires les reçoivent dans les boîtes de réception, sélectionnez Envoyer un e-mail de test.

  6. Sélectionnez Suivant. Dans la page Vérifier la règle , passez en revue les paramètres de la règle, puis sélectionnez Créer une règle. Les destinataires commencent à recevoir des notifications d’incident par e-mail en fonction des paramètres.

Pour modifier une règle existante, sélectionnez-la dans la liste des règles. Dans le volet avec le nom de la règle, sélectionnez Modifier la règle et apportez vos modifications dans les pages Informations de base, Paramètres de notification et Destinataires .

Pour supprimer une règle, sélectionnez-la dans la liste des règles. Dans le volet avec le nom de la règle, sélectionnez Supprimer.

Une fois que vous recevez la notification, vous pouvez accéder directement à l’incident et commencer votre enquête immédiatement. Pour plus d’informations sur l’examen des incidents, consultez Examiner les incidents dans Microsoft Defender XDR.

Étapes suivantes

Voir aussi