配置和管理终结点攻击通知
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
开始之前
注意
在申请终结点攻击通知托管威胁搜寻服务之前,请与 Microsoft 技术服务提供商和帐户团队讨论资格要求。
确保已在环境中部署 Defender for Endpoint,并且设备已注册,而不仅仅是在实验室设置中部署。
如果你是 Defender for Endpoint 客户,则需要申请 终结点攻击通知 以获取特殊见解和分析,以帮助识别最关键的威胁,以便快速响应它们。
申请终结点攻击通知服务
如果你已经是 Defender for Endpoint 客户,可以通过 Microsoft Defender 门户进行申请。
在导航窗格中,转到“设置常规>>高级功能>终结点攻击通知”。
单击“应用”。
输入姓名和电子邮件地址,以便 Microsoft 可以在应用程序上回复你。
阅读 隐私声明,完成后单击“ 提交 ”。 应用程序获得批准后,你将收到一封欢迎电子邮件。
接受后,你将收到一封欢迎电子邮件,并且会看到 “应用 ”按钮更改为“打开”的切换开关。 如果想要退出终结点攻击通知服务,请滑动切换开关“关闭”,然后单击页面底部的“ 保存首选项 ”。
你将在其中看到终结点攻击通知
可以通过以下媒体接收来自Microsoft Defender专家的定向攻击通知:
- Defender for Endpoint 门户的 “事件” 页
- Defender for Endpoint 门户的警报仪表板
- OData 警报 API 和 REST API
- 高级搜寻中的 DeviceAlertEvents 表
- 你的电子邮件(如果你选择配置它)
若要通过电子邮件接收终结点攻击通知,请创建电子邮件通知规则。
Create电子邮件通知规则
可以创建规则,为通知收件人发送电子邮件通知。 有关详细信息,请参阅 配置警报通知 以创建、编辑、删除电子邮件通知或排查电子邮件通知问题。
查看终结点攻击通知
将系统配置为接收电子邮件通知后,你将开始在电子邮件中接收来自Microsoft Defender专家的终结点攻击通知。
单击电子邮件中的链接,转到使用威胁专家标记的仪表板中的相应警报上下文。
从仪表板,选择从电子邮件获取的同一警报主题以查看详细信息。
筛选以仅查看终结点攻击通知
如果只想在多个警报中查看终结点攻击通知,则可以筛选事件和警报。 为此,请执行以下操作:
- 在导航菜单上,转到 “事件 & 警报>事件/警报> ”,选择 图标。
- 向下滚动到“标记”字段>,选择“Defender 专家检查”框。
- 选择“应用”。
若要跨终结点、Office 365、云应用程序和标识主动搜寻威胁,请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。