Поделиться через


Получение уведомлений об инцидентах по электронной почте в XDR в Microsoft Defender

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Вы можете настроить XDR в Microsoft Defender, чтобы уведомлять сотрудников по электронной почте о новых инцидентах или обновлениях существующих инцидентов. Вы можете получать уведомления на основе:

  • Серьезность оповещений
  • Источники оповещений
  • Группа устройств

Выберите получение уведомлений по электронной почте только для определенного источника службы. Вы можете легко выбрать определенные источники служб, для которые вы хотите получать уведомления по электронной почте.

Получите большую детализацию с определенными источниками обнаружения. Уведомления можно получать только для определенного источника обнаружения.

Задать уровень серьезности для каждого источника обнаружения или службы. Вы можете получать уведомления по электронной почте только о конкретных уровнях серьезности для каждого источника. Например, вы можете получать уведомления о средних и высоких оповещениях о EDR и обо всех серьезностях для экспертов Microsoft Defender.

Уведомление по электронной почте содержит важные сведения об инциденте, такие как имя инцидента, серьезность и категории, среди прочего. Вы также можете перейти непосредственно к инциденту и сразу же начать анализ. Дополнительные сведения см. в разделе Исследование инцидентов.

Вы можете добавлять или удалять получателей в уведомлениях по электронной почте. После добавления новые получатели получают уведомления об инцидентах.

Примечание.

Для настройки параметров уведомлений по электронной почте требуется разрешение Управление параметрами безопасности . Если вы решили использовать базовое управление разрешениями, пользователи с ролями "Администратор безопасности" или "Глобальный администратор" могут настраивать уведомления по электронной почте.

Аналогичным образом, если ваша организация использует управление доступом на основе ролей (RBAC), вы можете создавать, изменять, удалять и получать уведомления только на основе групп устройств, которыми вы можете управлять.

Примечание.

Корпорация Майкрософт рекомендует использовать роли с меньшим количеством разрешений для повышения безопасности. Роль глобального администратора, которая имеет много разрешений, должна использоваться только в чрезвычайных ситуациях, когда другая роль не подходит.

Создание правила для уведомлений по электронной почте

Выполните следующие действия, чтобы создать правило и настроить параметры уведомлений электронной почты.

  1. Перейдите к XDR в Microsoft Defender в области навигации и выберите Параметры Уведомления электронной почты > об инцидентах В Microsoft Defender XDR>.

  2. Выберите Добавить элемент.

  3. На странице Основные сведения введите имя правила и описание, а затем нажмите кнопку Далее.

  4. На странице Параметры уведомлений настройте следующие параметры:

    • Серьезность оповещения. Выберите уровень серьезности оповещения, которое вызовет уведомление об инциденте. Например, если вы хотите получать информацию только об инцидентах с высоким уровнем серьезности, выберите Высокий.
    • Область группы устройств. Вы можете указать все группы устройств или выбрать из списка групп устройств в клиенте.
    • Отправка только одного уведомления для каждого инцидента . Выберите, если требуется одно уведомление для каждого инцидента.
    • Включать имя организации в сообщение электронной почты. Выберите, если вы хотите, чтобы имя организации отображалось в уведомлении электронной почты.
    • Включать ссылку портала клиента. Выберите, если вы хотите добавлять ссылку с ИД клиента в уведомлении электронной почты для доступа к определенному клиенту Microsoft 365.

    Снимок экрана: страница параметров уведомлений для уведомлений по электронной почте об инцидентах на портале Microsoft Defender.

  5. Нажмите кнопку Далее. На странице Получатели добавьте адреса электронной почты, которые будут получать уведомления об инцидентах. Нажмите кнопку Добавить после ввода каждого нового адреса электронной почты. Чтобы протестировать уведомления и убедиться, что получатели получают их в папке "Входящие", выберите Отправить тестовое сообщение электронной почты.

  6. Нажмите кнопку Далее. На странице Проверка правила просмотрите параметры правила и выберите Создать правило. Получатели начнут получать уведомления об инцидентах по электронной почте в зависимости от параметров.

Чтобы изменить существующее правило, выберите его из списка правил. На панели с именем правила выберите Изменить правило и внесите изменения на страницы Основные сведения, Параметры уведомлений и Получатели .

Чтобы удалить правило, выберите его из списка правил. На панели с именем правила выберите Удалить.

Получив уведомление, вы можете перейти непосредственно к инциденту и сразу же начать расследование. Дополнительные сведения о расследовании инцидентов см. в разделе Исследование инцидентов в XDR в Microsoft Defender.

Дальнейшие действия

См. также