获取Microsoft Defender XDR中的响应操作电子邮件通知

适用于：

• Microsoft Defender XDR

重要

本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

可以设置Microsoft Defender XDR，通过电子邮件通知你手动或自动响应操作。

手动响应操作 是安全团队可用于阻止威胁或帮助调查攻击的操作。 这些操作因环境中启用的 Defender 工作负载而异。

另一方面，自动响应操作是 Microsoft 35 Defender 中自动扩展调查和解决威胁的功能。 自动修正功能包括 自动攻击中断 和 自动调查和响应。

注意

需要 “管理安全设置” 权限才能配置电子邮件通知设置。 如果选择使用基本权限管理，则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。 同样，如果组织使用 基于角色的访问控制 (RBAC) ，则只能基于允许管理的设备组创建、编辑、删除和接收通知。

为电子邮件通知Create规则

注意

响应操作电子邮件通知当前不支持包含响应操作的自定义检测。

若要为电子邮件通知创建规则，请执行以下步骤：

1. 在Microsoft Defender XDR的导航窗格中，选择“设置>Microsoft Defender XDR”。 在“常规”下，选择“Email通知”。 转到“操作”选项卡。
2. 选择 “添加通知规则”。 在“基本信息”下添加规则名称和说明。 “名称”和“说明”字段仅接受字母、数字和空格。
3. 选择窗格底部的“下一步”，转到下一部分。
4. 可以在 “通知设置 ”部分选择操作的类型、状态以及操作的来源。
5. 在 “操作源”下，选择是否要收到手动或自动响应操作的通知。 可以选择这两个选项。
6. 在“操作”下显示的清单中选择特定的响应 操作。 可以选择清单中可用的多个操作。 请注意，响应操作将因环境中启用的 Defender 工作负载而异。 完成后，选择的所有操作将显示在“操作”字段中。
7. 可以根据在“设备组” 范围内应用响应操作的设备组来选择接收通知。 若要收到所有当前和未来设备组中采取的响应操作的通知，请选择“ 所有设备 组”。 若要在属于所选设备组的设备中收到响应操作的通知，请选择“ 所选设备组”。
8. 在“ 操作状态 ”字段中选择是否要收到操作已完成或失败的通知。 可以选择所有可用的选项。
9. 在窗格底部，可以通过选择“ 下一步”继续下一部分。 或者，可以通过选择“后退”返回到“基本信息”部分。
10. 在 “收件人 ”部分中，可以添加一个或多个将接收通知的电子邮件地址。 通过在每个地址的末尾添加逗号来分隔多个地址。 选择“ 添加” 以添加收件人。 成功添加地址后，可以在窗格底部看到收件人。
11. 通过选择“ 发送测试电子邮件”来测试通知。 选择窗格底部的“下一步”，转到审阅部分。
12. 在 “审阅 规则”部分中检查规则的详细信息。 可以通过在每个部分的详细信息下选择 “编辑” 来编辑详细信息。
13. 选择窗格底部的“ 提交 ”以完成规则创建。 收件人将根据设置开始通过电子邮件接收通知。 新规则将显示在“操作”选项卡下的“通知规则”列表中。
14. 若要编辑或删除通知规则，请从列表中选择该规则。 选择 “编辑” 以更改规则的详细信息。 选择“ 删除” 以删除规则。

收到通知后，可以直接转到操作并查看或修正操作。

后续步骤

• 获取事件电子邮件通知
• 在威胁分析中获取有关新报表的电子邮件通知

另请参阅

• 配置自动攻击中断功能
• 配置自动调查和响应

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。