重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
你可以設定電子郵件通知,讓員工收到新事件或現有事件更新的通知。 您可以選擇根據以下方式接收通知:
- 警示嚴重性
- 警示來源
- 裝置群組
選擇只接收特定服務來源的電子郵件通知:您可以輕鬆選擇想要接收電子郵件通知的特定服務來源。
針對特定偵測來源獲得更細緻的資訊:你只能收到特定偵測來源的通知。
依偵測或服務來源設定嚴重性:您可以選擇只收到特定嚴重性電子郵件通知。 例如,你可以收到 EDR 的中等與高警示,以及 Microsoft Defender Experts 的所有嚴重程度警報。
電子郵件通知包含事件的重要細節,如事件名稱、嚴重程度及類別等。 你也可以直接前往事件現場,立即開始分析。 欲了解更多資訊,請參閱 調查事件。
你可以在電子郵件通知中新增或移除收件人。 新收件人會在事件被加入後收到通知。
注意事項
你需要管理 安全設定 權限來設定電子郵件通知的設定。 如果你選擇使用基本權限管理,擁有安全管理員或全域管理員角色的使用者可以設定電子郵件通知。
同樣地,若組織使用基於角色 (存取控制) RBAC ,您只能根據允許管理的裝置群組建立、編輯、刪除及接收通知。
注意事項
Microsoft 建議使用權限較少的角色以提升安全性。 全球管理員角色擁有許多權限,僅在緊急情況下使用,且無其他角色適合。
建立電子郵件通知規則
請遵循下列步驟建立新的規則,並自訂電子郵件通知設定。
請前往 Microsoft Defender 入口網站。 在導覽面板中,選擇設定>中的 Microsoft Defender 全面偵測回應,然後在一般選項中選擇 Email 通知。
在 事件 標籤中,選擇 新增事件通知規則。
在 基礎 頁面輸入規則名稱和描述,然後選擇 「下一步」。
在 通知設定 頁面,設定:
- 警示嚴重度 - 選擇觸發事件通知的警示嚴重性。 例如,如果你只想了解高嚴重事件,請選擇 「高」。
- 裝置群組範圍 - 您可以指定所有裝置群組,或從您租用戶中的裝置群組清單選取。
- 每個事件只發送一次通知——選擇是否希望每個事件收到一則通知。
- 在電子郵件中包含組織名稱 - 選取您是否希望讓組織名稱出現在電子郵件通知中。
- 包含租用戶專用入口網站連結 - 選取您是否希望在電子郵件通知中新增包含租用戶識別碼的連結,以便存取特定的 Microsoft 365 租用戶。
選取 [下一步]。 在 收件人 頁面,新增事件通知要寄送的電子郵件地址。 輸入每個新電子郵件地址後,選擇 新增 。 要測試通知並確保收件人在收件匣中收到,請選擇 「發送測試郵件」。
選取 [下一步]。 在 「檢視規則 」頁面,檢視規則的設定,然後選擇 建立規則。 收件人將根據設定開始透過電子郵件接收事件通知。
要編輯現有規則,請從規則列表中選擇該規則。 在規則名稱的面板上,選擇 編輯規則 ,並在 基礎、 通知設定和 收件人 頁面進行修改。
要刪除規則,請從規則清單中選擇該規則。 在規則名稱的窗格上,選擇 刪除。
收到通知後,你可以直接前往事件現場,立即展開調查。 欲了解更多調查事件資訊,請參閱 調查事件。