Ottenere notifiche degli eventi imprevisti tramite posta elettronica in Microsoft Defender XDR

Si applica a:

• Microsoft Defender XDR

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

È possibile configurare Microsoft Defender XDR per notificare al personale un messaggio di posta elettronica sui nuovi eventi imprevisti o sugli aggiornamenti agli eventi imprevisti esistenti. È possibile scegliere di ottenere le notifiche in base a:

• Gravità dell'avviso
• Origini avvisi
• Gruppo di dispositivi

Scegliere di ricevere notifiche tramite posta elettronica solo per un'origine del servizio specifica: è possibile selezionare facilmente origini di servizio specifiche per cui si desidera ricevere notifiche tramite posta elettronica.

Ottenere maggiore granularità con origini di rilevamento specifiche: è possibile ricevere notifiche solo per un'origine di rilevamento specifica.

Impostare la gravità per rilevamento o origine del servizio: è possibile scegliere di ottenere notifiche tramite posta elettronica solo in base a livelli di gravità specifici per origine. Ad esempio, è possibile ricevere una notifica per gli avvisi medi e alti per EDR e tutte le gravità per Microsoft Defender Experts.

La notifica tramite posta elettronica contiene dettagli importanti sull'evento imprevisto, ad esempio il nome, la gravità e le categorie dell'evento imprevisto, tra gli altri. È anche possibile passare direttamente all'evento imprevisto e avviare immediatamente l'analisi. Per altre informazioni, vedere Analizzare gli eventi imprevisti.

È possibile aggiungere o rimuovere destinatari nelle notifiche tramite posta elettronica. I nuovi destinatari ricevono una notifica sugli eventi imprevisti dopo l'aggiunta.

Nota

È necessaria l'autorizzazione Gestisci impostazioni di sicurezza per configurare le impostazioni di notifica tramite posta elettronica. Se si è scelto di usare la gestione delle autorizzazioni di base, gli utenti con ruoli Amministratore della sicurezza o Amministratore globale possono configurare le notifiche tramite posta elettronica.

Analogamente, se l'organizzazione usa il controllo degli accessi in base al ruolo, è possibile creare, modificare, eliminare e ricevere notifiche solo in base ai gruppi di dispositivi che è possibile gestire.

Nota

Microsoft consiglia di usare ruoli con meno autorizzazioni per una maggiore sicurezza. Il ruolo Amministratore globale, che dispone di molte autorizzazioni, deve essere usato solo in situazioni di emergenza quando nessun altro ruolo rientra.

Creare una regola per le notifiche tramite posta elettronica

Seguire questa procedura per creare una nuova regola e personalizzare le impostazioni di notifica tramite posta elettronica.

1. Passare a Microsoft Defender XDR nel riquadro di spostamento e selezionare Impostazioni Notifiche > di posta elettronica degli eventi imprevisti di Microsoft Defender XDR>.

2. Selezionare Aggiungi elemento.

3. Nella pagina Informazioni di base digitare il nome della regola e una descrizione e quindi selezionare Avanti.

4. Nella pagina Impostazioni di notifica configurare:

   • Gravità avviso: scegliere le gravità dell'avviso che attiveranno una notifica di incidente imprevisto. Ad esempio, se si vuole essere informati solo sugli eventi imprevisti con gravità elevata, selezionare Alta.
   • Ambito del gruppo di dispositivi: è possibile specificare tutti i gruppi di dispositivi o selezionarli dall'elenco dei gruppi di dispositivi nel tenant.
   • Inviare una sola notifica per evento imprevisto : selezionare se si vuole una notifica per evento imprevisto.
   • Includi il nome dell'organizzazione nel messaggio di posta elettronica: selezionare se si desidera che il nome dell'organizzazione venga visualizzato nella notifica di posta elettronica.
   • Includi collegamento al portale specifico del tenant: selezionare se si desidera aggiungere un collegamento con l'ID tenant nella notifica di posta elettronica per l'accesso a un tenant Microsoft 365 specifico.

   

5. Seleziona Avanti. Nella pagina Destinatari aggiungere gli indirizzi di posta elettronica che riceveranno le notifiche degli eventi imprevisti. Selezionare Aggiungi dopo aver digitato ogni nuovo indirizzo di posta elettronica. Per testare le notifiche e assicurarsi che i destinatari le ricevano nella posta in arrivo, selezionare Invia messaggio di posta elettronica di test.

6. Seleziona Avanti. Nella pagina Verifica regola esaminare le impostazioni della regola e quindi selezionare Crea regola. I destinatari inizieranno a ricevere notifiche degli eventi imprevisti tramite posta elettronica in base alle impostazioni.

Per modificare una regola esistente, selezionarla dall'elenco di regole. Nel riquadro con il nome della regola selezionare Modifica regola e apportare le modifiche nelle pagine Informazioni di base, Impostazioni di notifica e Destinatari .

Per eliminare una regola, selezionarla dall'elenco di regole. Nel riquadro con il nome della regola selezionare Elimina.

Dopo aver ottenuto la notifica, è possibile passare direttamente all'evento imprevisto e avviare immediatamente l'indagine. Per altre informazioni sull'analisi degli eventi imprevisti, vedere Analizzare gli eventi imprevisti in Microsoft Defender XDR.

Passaggi successivi

• Ottenere notifiche tramite posta elettronica sulle azioni di risposta
• Ottenere notifiche tramite posta elettronica sui nuovi report in Analisi delle minacce

Vedere anche

• Analizzare gli incidenti in Microsoft Defender XDR