Obter notificações de incidentes por e-mail no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Pode configurar o Microsoft Defender XDR para notificar a sua equipa com um e-mail sobre novos incidentes ou atualizações para incidentes existentes. Pode optar por receber notificações com base em:
- Gravidade do alerta
- Origens de alertas
- Grupo de dispositivos
Optar por receber notificações por e-mail apenas para uma origem de serviço específica: pode selecionar facilmente origens de serviço específicas para as quais pretende receber notificações por e-mail.
Obter mais granularidade com origens de deteção específicas: só pode receber notificações para uma origem de deteção específica.
Definir a gravidade por origem de serviço ou deteção: pode optar por receber notificações por e-mail apenas em gravidades específicas por origem. Por exemplo, pode ser notificado relativamente a alertas médios e elevados para EDR e todas as gravidades dos Especialistas do Microsoft Defender.
A notificação por e-mail contém detalhes importantes sobre o incidente, como o nome do incidente, a gravidade e as categorias, entre outros. Também pode aceder diretamente ao incidente e iniciar a sua análise imediatamente. Para obter mais informações, veja Investigar incidentes.
Pode adicionar ou remover destinatários nas notificações por e-mail. Os novos destinatários são notificados sobre incidentes depois de serem adicionados.
Nota
Precisa da permissão Gerir definições de segurança para configurar as definições de notificação por e-mail. Se tiver optado por utilizar a gestão de permissões básica, os utilizadores com funções de Administrador de Segurança ou Administrador Global podem configurar notificações por e-mail.
Da mesma forma, se a sua organização estiver a utilizar o controlo de acesso baseado em funções (RBAC), só pode criar, editar, eliminar e receber notificações com base em grupos de dispositivos que tem permissão para gerir.
Nota
A Microsoft recomenda a utilização de funções com menos permissões para uma melhor segurança. A função Administrador Global, que tem muitas permissões, só deve ser utilizada em situações de emergência quando nenhuma outra função se adequar.
Criar uma regra para notificações por e-mail
Siga estes passos para criar uma nova regra e personalizar as definições de notificação por e-mail.
Aceda a Microsoft Defender XDR no painel de navegação e selecione Definições Notificações > de e-mail de Incidente do Microsoft Defender XDR>.
Selecione Adicionar item.
Na página Informações básicas , escreva o nome da regra e uma descrição e, em seguida, selecione Seguinte.
Na página Definições de notificação , configure:
- Gravidade do alerta – escolha as gravidades do alerta que irão acionar uma notificação de incidente. Por exemplo, se apenas quiser ser informado sobre incidentes de alta gravidade, selecione Alto.
- Âmbito do grupo de dispositivos – pode especificar todos os grupos de dispositivos ou selecionar a partir da lista de grupos de dispositivos no seu inquilino.
- Enviar apenas uma notificação por incidente – selecione se pretende uma notificação por incidente.
- Incluir o nome da organização no e-mail – selecione se pretende que o nome da sua organização apareça na notificação por e-mail.
- Incluir ligação do portal específico do inquilino – selecione se pretende adicionar uma ligação com o ID de inquilino na notificação por e-mail para aceder a um inquilino específico do Microsoft 365.
Selecione Seguinte. Na página Destinatários , adicione os endereços de e-mail que irão receber as notificações de incidentes. Selecione Adicionar depois de escrever cada novo endereço de e-mail. Para testar as notificações e garantir que os destinatários as recebem nas caixas de entrada, selecione Enviar e-mail de teste.
Selecione Seguinte. Na página Rever regra , reveja as definições da regra e, em seguida, selecione Criar regra. Os destinatários começarão a receber notificações de incidentes por e-mail com base nas definições.
Para editar uma regra existente, selecione-a na lista de regras. No painel com o nome da regra, selecione Editar regra e faça as suas alterações nas páginas Básico,Definições de notificação e Destinatários .
Para eliminar uma regra, selecione-a na lista de regras. No painel com o nome da regra, selecione Eliminar.
Assim que receber a notificação, pode aceder diretamente ao incidente e iniciar a investigação imediatamente. Para obter mais informações sobre como investigar incidentes, veja Investigar incidentes no Microsoft Defender XDR.
Passos seguintes
- Obter notificações por e-mail sobre ações de resposta
- Receber notificações por e-mail sobre novos relatórios no Threat Analytics