Udostępnij za pośrednictwem

Pobieranie powiadomień e-mail dotyczących akcji odpowiedzi w usłudze Microsoft Defender XDR

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Możesz skonfigurować usługę Microsoft Defender XDR, aby powiadamiać Cię za pośrednictwem poczty e-mail o ręcznych lub zautomatyzowanych akcjach reagowania.

Akcje ręcznego reagowania to akcje, których zespoły ds. zabezpieczeń mogą używać do zatrzymywania zagrożeń lub pomocy w badaniu ataków. Te akcje różnią się w zależności od obciążenia usługi Defender włączonego w danym środowisku.

Z drugiej strony zautomatyzowane akcje reagowania to funkcje w usłudze Microsoft Defender XDR, które automatycznie skalują badanie i rozwiązywanie zagrożeń. Funkcje zautomatyzowanego korygowania obejmują automatyczne zakłócanie ataków oraz zautomatyzowane badanie i reagowanie.

Uwaga

Aby skonfigurować ustawienia powiadomień e-mail, potrzebne jest uprawnienie Zarządzanie ustawieniami zabezpieczeń . Jeśli wybrano użycie podstawowego zarządzania uprawnieniami, użytkownicy z rolami administratora zabezpieczeń lub administratora globalnego mogą konfigurować powiadomienia e-mail. Podobnie, jeśli organizacja korzysta z kontroli dostępu opartej na rolach (RBAC), można tworzyć, edytować, usuwać i odbierać powiadomienia na podstawie grup urządzeń, które mogą być zarządzane.

Uwaga

Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.

Tworzenie reguły dla powiadomień e-mail

Uwaga

Powiadomienie e-mail akcji odpowiedzi obecnie nie obsługuje wykrywania niestandardowego zawierającego akcje odpowiedzi.

Aby utworzyć regułę dla powiadomień e-mail, wykonaj następujące kroki:

  1. W okienku nawigacji usługi Microsoft Defender XDR wybierz pozycję Ustawienia > Usługi Microsoft Defender XDR. W obszarze Ogólne wybierz pozycję Powiadomienia e-mail. Przejdź do karty Akcje . Akcje na stronie Ustawienia XDR usługi Microsoft Defender
  2. Wybierz pozycję Dodaj regułę powiadomień. Dodaj nazwę reguły i opis w obszarze Podstawy. Pola Nazwa i Opis akceptują tylko litery, cyfry i spacje. Sekcja Podstawy reguły dodawania powiadomień
  3. Przejdź do następnej sekcji, wybierając pozycję Dalej znajdującą się w dolnej części okienka.
  4. W sekcji Ustawienia powiadomień możesz wybrać typ akcji, stan i lokalizację, z której będzie pochodzić akcja. Sekcja ustawień powiadomień reguły dodawania powiadomień
  5. W obszarze Źródło akcji wybierz, czy chcesz otrzymać powiadomienie o akcjach ręcznego lub zautomatyzowanego reagowania. Możesz wybrać obie opcje.
  6. Wybierz określone akcje odpowiedzi na liście kontrolnej, która jest wyświetlana w obszarze Akcja. Możesz wybrać wiele akcji dostępnych na liście kontrolnej. Należy pamiętać, że akcje odpowiedzi będą się różnić w zależności od obciążenia usługi Defender włączonego w danym środowisku. Wszystkie wybrane akcje są wyświetlane w polu Akcja po zakończeniu. Wyróżnianie pola Akcje w sekcji Ustawienia powiadomień reguły dodawania powiadomień
  7. Możesz otrzymać powiadomienie na podstawie grup urządzeń, w których akcje odpowiedzi są stosowane w zakresie Grupy urządzeń. Aby otrzymać powiadomienie o akcjach odpowiedzi wykonywanych we wszystkich bieżących i przyszłych grupach urządzeń, wybierz pozycję Wszystkie grupy urządzeń . Aby otrzymać powiadomienie o akcjach odpowiedzi wykonywanych na urządzeniach należących do wybranej grupy urządzeń, wybierz pozycję Wybrane grupy urządzeń. Wyróżnianie zakresu Grupy urządzeń w sekcji Ustawienia powiadomień reguły dodawania powiadomień
  8. Wybierz, czy chcesz otrzymać powiadomienie, jeśli akcja została ukończona lub zakończona niepowodzeniem w polu Stan akcji . Możesz wybrać wszystkie dostępne opcje.
  9. W dolnej części okienka możesz przejść do następnej sekcji, wybierając pozycję Dalej. Alternatywnie możesz wrócić do sekcji Podstawy, wybierając pozycję Wstecz.
  10. W sekcji Adresaci możesz dodać co najmniej jeden adres e-mail, który będzie otrzymywać powiadomienia. Rozdziel wiele adresów, dodając przecinek na końcu każdego adresu. Wybierz pozycję Dodaj , aby dodać adresatów. Adresaci są widoczni w dolnej części okienka po pomyślnym dodaniu adresów. Dodawanie wielu adresów w sekcji Adresaci reguły dodawania powiadomień
  11. Przetestuj powiadomienie, wybierając pozycję Wyślij testowy adres e-mail. Wybierz pozycję Dalej znajdującą się w dolnej części okienka, aby przejść do sekcji przeglądu.
  12. Sprawdź szczegóły reguły w sekcji Przejrzyj regułę . Szczegóły można edytować, wybierając pozycję Edytuj w obszarze szczegółów każdej sekcji. Wyróżnianie opcji Edytuj w sekcji Przejrzyj regułę
  13. Wybierz pozycję Prześlij w dolnej części okienka, aby zakończyć tworzenie reguły. Adresaci zaczną otrzymywać powiadomienia za pośrednictwem poczty e-mail na podstawie ustawień. Nowa reguła zostanie wyświetlona na liście reguł Powiadomień na karcie Akcje.
  14. Aby edytować lub usunąć regułę powiadomień, wybierz regułę z listy. Wybierz pozycję Edytuj , aby zmienić szczegóły reguły. Wybierz pozycję Usuń , aby usunąć regułę. Wyróżnianie opcji Edytuj i usuń w widoku listy reguł

Po otrzymaniu powiadomienia możesz przejść bezpośrednio do akcji i przejrzeć lub skorygować akcję.

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.