Получение уведомлений об инцидентах по электронной почте в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Вы можете настроить Microsoft Defender XDR для уведомления сотрудников по электронной почте о новых инцидентах или обновлениях существующих инцидентов. Вы можете получать уведомления на основе:
- Серьезность оповещений
- Источники оповещений
- Группа устройств
Выберите получение Уведомления по электронной почте только для определенного источника службы. Вы можете легко выбрать определенные источники служб, для которого требуется получить Уведомления по электронной почте.
Получите большую детализацию с определенными источниками обнаружения. Уведомления можно получать только для определенного источника обнаружения.
Задать уровень серьезности для каждого источника обнаружения или службы. Вы можете получить Уведомления по электронной почте только для определенных уровней серьезности для каждого источника. Например, вы можете получать уведомления для оповещений среднего и высокого уровня для EDR и обо всех серьезностях для Microsoft Defender экспертов.
Уведомление по электронной почте содержит важные сведения об инциденте, такие как имя инцидента, серьезность и категории, среди прочего. Вы также можете перейти непосредственно к инциденту и сразу же начать анализ. Дополнительные сведения см. в разделе Исследование инцидентов.
Вы можете добавлять или удалять получателей в Уведомления по электронной почте. После добавления новые получатели получают уведомления об инцидентах.
Примечание.
Для настройки параметров уведомлений по электронной почте требуется разрешение Управление параметрами безопасности . Если вы решили использовать базовое управление разрешениями, пользователи с ролями администратора безопасности или глобального администратора могут настроить Уведомления по электронной почте.
Аналогичным образом, если ваша организация использует управление доступом на основе ролей (RBAC), вы можете создавать, изменять, удалять и получать уведомления только на основе групп устройств, которыми вы можете управлять.
Create правило для Уведомления по электронной почте
Выполните следующие действия, чтобы создать правило и настроить параметры уведомлений электронной почты.
Перейдите к Microsoft Defender XDR в области навигации и выберите Параметры > Microsoft Defender XDR > Уведомления по электронной почте инцидента.
Выберите Добавить элемент.
На странице Основные сведения введите имя правила и описание, а затем нажмите кнопку Далее.
На странице Параметры уведомлений настройте следующие параметры:
- Серьезность оповещения. Выберите уровень серьезности оповещения, которое вызовет уведомление об инциденте. Например, если вы хотите получать информацию только об инцидентах с высоким уровнем серьезности, выберите Высокий.
- Область группы устройств. Вы можете указать все группы устройств или выбрать из списка групп устройств в клиенте.
- Отправка только одного уведомления для каждого инцидента . Выберите, если требуется одно уведомление для каждого инцидента.
- Включать имя организации в сообщение электронной почты. Выберите, если вы хотите, чтобы имя организации отображалось в уведомлении электронной почты.
- Включать ссылку портала клиента. Выберите, если вы хотите добавлять ссылку с ИД клиента в уведомлении электронной почты для доступа к определенному клиенту Microsoft 365.
Нажмите кнопку Далее. На странице Получатели добавьте адреса электронной почты, которые будут получать уведомления об инцидентах. Нажмите кнопку Добавить после ввода каждого нового адреса электронной почты. Чтобы протестировать уведомления и убедиться, что получатели получают их в папке "Входящие", выберите Отправить тестовое сообщение электронной почты.
Нажмите кнопку Далее. На странице Проверка правила просмотрите параметры правила и выберите Create правило. Получатели начнут получать уведомления об инцидентах по электронной почте в зависимости от параметров.
Чтобы изменить существующее правило, выберите его из списка правил. На панели с именем правила выберите Изменить правило и внесите изменения на страницы Основные сведения, Параметры уведомлений и Получатели .
Чтобы удалить правило, выберите его из списка правил. На панели с именем правила выберите Удалить.
Получив уведомление, вы можете перейти непосредственно к инциденту и сразу же начать расследование. Дополнительные сведения о расследовании инцидентов см. в статье Исследование инцидентов в Microsoft Defender XDR.
Дальнейшие действия
- Получение Уведомления по электронной почте о действиях ответа
- Получение Уведомления по электронной почте о новых отчетах в аналитике угроз
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по