Incidensértesítések lekérése e-mailben a Microsoft Defender XDR-ben
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Beállíthatja a Microsoft Defender XDR-t, hogy e-mailben értesítse munkatársait az új incidensekről vagy a meglévő incidensek frissítéseiről. Az értesítéseket a következő alapján kaphatja meg:
- Riasztás súlyossága
- Riasztási források
- Eszközcsoport
Válassza ki, hogy csak adott szolgáltatásforráshoz szeretne e-mail-értesítéseket kapni: Egyszerűen kiválaszthatja azokat a szolgáltatásforrásokat, amelyekről e-mail-értesítéseket szeretne kapni.
Részletesebb információ adott észlelési forrásokkal: Csak egy adott észlelési forrásra vonatkozóan kaphat értesítéseket.
A súlyosság beállítása észlelésenként vagy szolgáltatásforrásonként: Dönthet úgy, hogy az e-mail-értesítéseket forrásonként csak bizonyos súlyosságokra vonatkozóan szeretné megkapni. Értesítést kaphat például az EDR közepes és magas szintű riasztásaival és a Microsoft Defender-szakértők összes súlyosságáról.
Az e-mail-értesítés többek között fontos részleteket tartalmaz az incidensről, például az incidens nevét, súlyosságát és kategóriáit. Közvetlenül is megnyithatja az incidenst, és azonnal megkezdheti az elemzést. További információ: Incidensek vizsgálata.
Az e-mail-értesítésekben felvehet vagy eltávolíthat címzetteket. Az új címzettek a hozzáadásuk után értesítést kapnak az incidensekről.
Megjegyzés:
Az e-mail-értesítések beállításainak konfigurálásához a Biztonsági beállítások kezelése engedélyre van szüksége. Ha alapszintű engedélykezelést választott, a biztonsági rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók e-mail-értesítéseket konfigurálhatnak.
Hasonlóképpen, ha a szervezet szerepköralapú hozzáférés-vezérlést (RBAC) használ, csak olyan eszközcsoportok alapján hozhat létre, szerkeszthet, törölhet és fogadhat értesítéseket, amelyeket ön kezelhet.
Megjegyzés:
A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.
Szabály létrehozása e-mail-értesítésekhez
Az alábbi lépéseket követve hozzon létre egy új szabályt, és szabja testre az e-mailes értesítési beállításokat.
Nyissa meg a Microsoft Defender XDR-t a navigációs panelen, és válassza a Beállítások > Microsoft Defender XDR > incidens e-mail-értesítések lehetőséget.
Válassza az Elem hozzáadása lehetőséget.
Az Alapvető beállítások lapon írja be a szabály nevét és leírását, majd válassza a Tovább gombot.
Az Értesítési beállítások lapon konfigurálja a következőt:
- Riasztás súlyossága – Válassza ki azokat a riasztási súlyosságokat, amelyek incidensértesítést váltanak ki. Ha például csak a nagy súlyosságú incidensekről szeretne értesülni, válassza a Magas lehetőséget.
- Eszközcsoport hatóköre – Megadhatja az összes eszközcsoportot, vagy választhat a bérlőben lévő eszközcsoportok listájából.
- Incidensenként csak egy értesítés küldése – Válassza ki, hogy incidensenként egy értesítést szeretne-e kapni.
- Adja meg a szervezet nevét az e-mailben – Válassza ki, hogy meg szeretné-e jeleníteni a szervezet nevét az e-mail-értesítésben.
- Bérlőspecifikus portálhivatkozás belefoglalása – Válassza ki, hogy fel szeretne-e venni egy, a bérlőazonosítóval rendelkező hivatkozást az e-mail-értesítésben egy adott Microsoft 365-bérlőhöz való hozzáféréshez.
Válassza a Tovább gombot. A Címzettek lapon adja meg azokat az e-mail-címeket, amelyek megkapják az incidensértesítéseket. Az új e-mail-címek beírása után válassza a Hozzáadás lehetőséget. Az értesítések teszteléséhez és annak biztosításához, hogy a címzettek megkapják őket a beérkezett üzenetek között, válassza a Teszt e-mail küldése lehetőséget.
Válassza a Tovább gombot. A Szabály áttekintése lapon tekintse át a szabály beállításait, majd válassza a Szabály létrehozása lehetőséget. A címzettek a beállítások alapján e-mailben fognak értesítést kapni az incidensekről.
Meglévő szabály szerkesztéséhez válassza ki azt a szabályok listájából. A szabály nevét tartalmazó panelen válassza a Szabály szerkesztése lehetőséget, és végezze el a módosításokat az Alapvető beállítások, az Értesítési beállítások és a Címzettek lapon.
Szabály törléséhez válassza ki a szabályt a szabályok listájából. A szabály nevét tartalmazó panelen válassza a Törlés lehetőséget.
Miután megkapta az értesítést, közvetlenül az incidenshez léphet, és azonnal megkezdheti a vizsgálatot. Az incidensek kivizsgálásával kapcsolatos további információkért lásd: Incidensek vizsgálata a Microsoft Defender XDR-ben.
Következő lépések
- E-mail-értesítések lekérése a válaszműveletekkel kapcsolatban
- Új jelentésekről szóló e-mail-értesítések lekérése a Threat Analyticsben