在 Microsoft Defender XDR 中通过电子邮件获取事件通知

适用于:

  • Microsoft Defender XDR

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

可以设置 Microsoft Defender XDR,以通过电子邮件通知员工有关新事件或现有事件的更新。 可以根据以下条件选择获取通知:

  • 警报严重性
  • 警报源
  • 设备组

选择仅接收特定服务源的电子邮件通知:可以轻松选择要为其获取电子邮件通知的特定服务源。

使用特定检测源获取更多粒度:只能获取特定检测源的通知。

设置每个检测或服务源的严重性:可以选择仅获取每个源的特定严重性的电子邮件通知。 例如,可以收到有关 EDR 的中高警报以及 Microsoft Defender 专家的所有严重性的通知。

电子邮件通知包含有关事件的重要详细信息,例如事件名称、严重性和类别等。 还可以直接转到事件并立即开始分析。 有关详细信息,请参阅 调查事件

可以在电子邮件通知中添加或删除收件人。 新收件人在添加事件后会收到有关事件的通知。

注意

需要 “管理安全设置” 权限才能配置电子邮件通知设置。 如果选择使用基本权限管理,则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。

同样,如果组织使用基于角色的访问控制 (RBAC) ,则只能基于允许管理的设备组创建、编辑、删除和接收通知。

注意

Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。

为电子邮件通知创建规则

按照以下步骤创建新规则并自定义电子邮件通知设置。

  1. 转到导航窗格中 的“Microsoft Defender XDR ”,选择 “设置 > ”Microsoft Defender XDR > 事件电子邮件通知

  2. 选择 “添加项”。

  3. “基本信息 ”页上,键入规则名称和说明,然后选择“ 下一步”。

  4. “通知设置” 页上,配置:

    • 警报严重程度 - 选择将触发事件通知的警报严重程度。 例如,如果只想了解高严重性事件,请选择“ ”。
    • 设备组范围 - 可以指定所有设备组或从租户中的设备组列表中进行选择。
    • 每个事件仅发送一个通知 - 选择是否希望每个事件一个通知。
    • 在电子邮件中包含组织名称 - 选择是否希望组织名称显示在电子邮件通知中。
    • 包括特定于租户的门户链接 - 选择是否要在电子邮件通知中添加包含租户 ID 的链接,以便访问特定的 Microsoft 365 租户。

    Microsoft Defender 门户中事件电子邮件通知的“通知设置”页的屏幕截图。

  5. 选择 下一步。 在“ 收件人 ”页上,添加将接收事件通知的电子邮件地址。 键入每个新电子邮件地址后,选择“ 添加 ”。 若要测试通知并确保收件人在收件箱中收到通知,请选择“ 发送测试电子邮件”。

  6. 选择 下一步。 在“ 审阅规则 ”页上,查看规则的设置,然后选择“ 创建规则”。 收件人将根据设置开始通过电子邮件接收事件通知。

若要编辑现有规则,请从规则列表中选择它。 在带有规则名称的窗格中,选择“ 编辑规则 ”,并在 “基本信息”、“ 通知设置”和“ 收件人 ”页上进行更改。

若要删除规则,请从规则列表中选择它。 在具有规则名称的窗格中,选择“ 删除”。

收到通知后,可以直接转到事件并立即开始调查。 有关调查事件的详细信息,请参阅 调查 Microsoft Defender XDR 中的事件

后续步骤

另请参阅