在 Microsoft Defender XDR 中获取响应操作的电子邮件通知
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
可以设置 Microsoft Defender XDR,以通过电子邮件通知你手动或自动响应操作。
手动响应操作 是安全团队可用于阻止威胁或帮助调查攻击的操作。 这些操作因环境中启用的 Defender 工作负载而异。
另一方面,自动响应操作是 Microsoft Defender XDR 中自动缩放调查和解决威胁的功能。 自动修正功能包括 自动攻击中断 和 自动调查和响应。
注意
需要 “管理安全设置” 权限才能配置电子邮件通知设置。 如果选择使用基本权限管理,则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。 同样,如果组织使用 基于角色的访问控制 (RBAC) ,则只能基于允许管理的设备组创建、编辑、删除和接收通知。
注意
Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。
为电子邮件通知创建规则
注意
响应操作电子邮件通知当前不支持包含响应操作的自定义检测。
若要为电子邮件通知创建规则,请执行以下步骤:
- 在 Microsoft Defender XDR 的导航窗格中,选择 “设置 > Microsoft Defender XDR”。 在“ 常规”下,选择“ 电子邮件通知”。 转到“ 操作 ”选项卡。
- 选择 “添加通知规则”。 在“基本信息”下添加规则名称和说明。 “名称”和“说明”字段仅接受字母、数字和空格。
- 选择窗格底部的“下一步”,转到下一部分。
- 可以在 “通知设置 ”部分选择操作的类型、状态以及操作的来源。
- 在 “操作源”下,选择是否要收到手动或自动响应操作的通知。 可以选择这两个选项。
- 在“操作”下显示的清单中选择特定的响应 操作。 可以选择清单中可用的多个操作。 请注意,响应操作将因环境中启用的 Defender 工作负载而异。 完成后,选择的所有操作将显示在“操作”字段中。
- 可以根据在“设备组” 范围内应用响应操作的设备组来选择接收通知。 若要收到所有当前和未来设备组中采取的响应操作的通知,请选择“ 所有设备 组”。 若要在属于所选设备组的设备中收到响应操作的通知,请选择“ 所选设备组”。
- 在“ 操作状态 ”字段中选择是否要收到操作已完成或失败的通知。 可以选择所有可用的选项。
- 在窗格底部,可以通过选择“ 下一步”继续下一部分。 或者,可以通过选择“后退”返回到“基本信息”部分。
- 在 “收件人 ”部分中,可以添加一个或多个将接收通知的电子邮件地址。 通过在每个地址的末尾添加逗号来分隔多个地址。 选择“ 添加” 以添加收件人。 成功添加地址后,可以在窗格底部看到收件人。
- 通过选择“ 发送测试电子邮件”来测试通知。 选择窗格底部的“下一步”,转到审阅部分。
- 在 “审阅 规则”部分中检查规则的详细信息。 可以通过在每个部分的详细信息下选择 “编辑” 来编辑详细信息。
- 选择窗格底部的“ 提交 ”以完成规则创建。 收件人将根据设置开始通过电子邮件接收通知。 新规则将显示在“操作”选项卡下的“通知规则”列表中。
- 若要编辑或删除通知规则,请从列表中选择该规则。 选择 “编辑” 以更改规则的详细信息。 选择“ 删除” 以删除规则。
收到通知后,可以直接转到操作并查看或修正操作。
后续步骤
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。