Obter notificações de incidentes por e-mail no Microsoft Defender XDR

Aplica-se a:

• Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Pode configurar o Microsoft Defender XDR para notificar a sua equipa com um e-mail sobre novos incidentes ou atualizações para incidentes existentes. Pode optar por receber notificações com base em:

• Gravidade do alerta
• Fontes de alerta
• Grupo de dispositivos

Optar por receber notificações por e-mail apenas para uma origem de serviço específica: pode selecionar facilmente origens de serviço específicas para as quais pretende receber notificações por e-mail.

Obter mais granularidade com origens de deteção específicas: só pode receber notificações para uma origem de deteção específica.

Definir a gravidade por origem de serviço ou deteção: pode optar por receber notificações por e-mail apenas em gravidades específicas por origem. Por exemplo, pode ser notificado relativamente a alertas médios e elevados para EDR e todas as gravidades dos Especialistas do Microsoft Defender.

A notificação por e-mail contém detalhes importantes sobre o incidente, como o nome do incidente, a gravidade e as categorias, entre outros. Também pode aceder diretamente ao incidente e iniciar a sua análise imediatamente. Para obter mais informações, veja Investigar incidentes.

Pode adicionar ou remover destinatários nas notificações por e-mail. Os novos destinatários são notificados sobre incidentes depois de serem adicionados.

Observação

Precisa da permissão Gerir definições de segurança para configurar as definições de notificação por e-mail. Se tiver optado por utilizar a gestão de permissões básica, os utilizadores com funções de Administrador de Segurança ou Administrador Global podem configurar notificações por e-mail.

Da mesma forma, se a sua organização estiver a utilizar o controlo de acesso baseado em funções (RBAC), só pode criar, editar, eliminar e receber notificações com base em grupos de dispositivos que tem permissão para gerir.

Observação

A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.

Criar uma regra para notificações por e-mail

Siga estas etapas para criar uma nova regra e personalizar as configurações de notificação por email.

1. Aceda a Microsoft Defender XDR no painel de navegação e selecione Definições Notificações > de e-mail de Incidente do Microsoft Defender XDR>.

2. Selecione Adicionar item.

3. Na página Informações básicas , escreva o nome da regra e uma descrição e, em seguida, selecione Seguinte.

4. Na página Definições de notificação , configure:

   • Severidade do alerta - Escolha as severidades do alerta que irão acionar uma notificação de incidente. Por exemplo, se apenas quiser ser informado sobre incidentes de alta gravidade, selecione Alto.
   • Escopo do grupo de dispositivos - você pode especificar todos os grupos de dispositivos ou selecionar na lista de grupos de dispositivos em seu locatário.
   • Enviar apenas uma notificação por incidente – selecione se pretende uma notificação por incidente.
   • Incluir o nome da organização no email - Selecione se deseja que o nome da sua organização apareça na notificação por email.
   • Incluir link de portal específico do locatário - Selecione se deseja adicionar um link com a ID do locatário na notificação por email para acesso a um locatário específico do Microsoft 365.

   

5. Selecione Avançar. Na página Destinatários , adicione os endereços de e-mail que irão receber as notificações de incidentes. Selecione Adicionar depois de escrever cada novo endereço de e-mail. Para testar as notificações e garantir que os destinatários as recebem nas caixas de entrada, selecione Enviar e-mail de teste.

6. Selecione Avançar. Na página Rever regra , reveja as definições da regra e, em seguida, selecione Criar regra. Os destinatários começarão a receber notificações de incidentes por e-mail com base nas definições.

Para editar uma regra existente, selecione-a na lista de regras. No painel com o nome da regra, selecione Editar regra e faça as suas alterações nas páginas Básico,Definições de notificação e Destinatários .

Para eliminar uma regra, selecione-a na lista de regras. No painel com o nome da regra, selecione Eliminar.

Assim que receber a notificação, pode aceder diretamente ao incidente e iniciar a investigação imediatamente. Para obter mais informações sobre como investigar incidentes, veja Investigar incidentes no Microsoft Defender XDR.

Próximas etapas

• Obter notificações por e-mail sobre ações de resposta
• Receber notificações por e-mail sobre novos relatórios no Threat Analytics

Confira também

• Investigue incidentes no Microsoft Defender XDR