Ottenere notifiche tramite posta elettronica per le azioni di risposta in Microsoft Defender XDR

Si applica a:

• Microsoft Defender XDR

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

È possibile configurare Microsoft Defender XDR per inviare notifiche tramite posta elettronica sulle azioni di risposta manuali o automatizzate.

Le azioni di risposta manuale sono azioni che i team di sicurezza possono usare per arrestare le minacce o facilitare l'analisi degli attacchi. Queste azioni variano a seconda del carico di lavoro di Defender abilitato nell'ambiente.

Le azioni di risposta automatizzate, d'altra parte, sono funzionalità di Microsoft Defender XDR che ridimensionano automaticamente l'analisi e la risoluzione delle minacce. Le funzionalità di correzione automatizzate sono costituite da interruzioni automatiche degli attacchi e indagini e risposte automatizzate.

Nota

È necessaria l'autorizzazione Gestisci impostazioni di sicurezza per configurare le impostazioni di notifica tramite posta elettronica. Se si è scelto di usare la gestione delle autorizzazioni di base, gli utenti con ruoli Amministratore della sicurezza o Amministratore globale possono configurare le notifiche tramite posta elettronica. Analogamente, se l'organizzazione usa il controllo degli accessi in base al ruolo, è possibile creare, modificare, eliminare e ricevere notifiche solo in base ai gruppi di dispositivi che è possibile gestire.

Nota

Microsoft consiglia di usare ruoli con meno autorizzazioni per una maggiore sicurezza. Il ruolo Amministratore globale, che dispone di molte autorizzazioni, deve essere usato solo in situazioni di emergenza quando nessun altro ruolo rientra.

Creare una regola per le notifiche tramite posta elettronica

Nota

La notifica di posta elettronica dell'azione di risposta attualmente non supporta rilevamenti personalizzati contenenti azioni di risposta.

Per creare una regola per le notifiche tramite posta elettronica, seguire questa procedura:

1. Nel riquadro di spostamento di Microsoft Defender XDR selezionare Impostazioni > Microsoft Defender XDR. In Generale selezionare Notifiche tramite posta elettronica. Passare alla scheda Azioni .
2. Selezionare Aggiungi regola di notifica. Aggiungere il nome e la descrizione di una regola in Informazioni di base. I campi Nome e Descrizione accettano solo lettere, numeri e spazi.
3. Passare alla sezione successiva selezionando Avanti nella parte inferiore del riquadro.
4. È possibile scegliere il tipo di azione, lo stato e la provenienza dell'azione nella sezione Impostazioni di notifica .
5. In Origine azione selezionare se si vuole ricevere una notifica per le azioni di risposta manuali o automatizzate. È possibile selezionare entrambe le opzioni.
6. Selezionare le azioni di risposta specifiche nell'elenco di controllo visualizzato in Azione. È possibile scegliere più azioni disponibili nell'elenco di controllo. Si noti che le azioni di risposta variano a seconda del carico di lavoro di Defender abilitato nell'ambiente. Tutte le azioni selezionate vengono visualizzate nel campo Azione al completamento.
7. È possibile scegliere di ricevere una notifica in base ai gruppi di dispositivi in cui vengono applicate le azioni di risposta nell'ambito Gruppi di dispositivi. Per ricevere una notifica delle azioni di risposta eseguite in tutti i gruppi di dispositivi correnti e futuri, selezionare Tutti i gruppi di dispositivi . Per ricevere una notifica delle azioni di risposta eseguite nei dispositivi appartenenti al gruppo di dispositivi selezionato, scegliere Gruppi di dispositivi selezionati.
8. Selezionare se si vuole ricevere una notifica se un'azione è stata completata o non riuscita nel campo Stato azione . È possibile selezionare tutte le opzioni disponibili.
9. Nella parte inferiore del riquadro è possibile passare alla sezione successiva selezionando Avanti. In alternativa, è possibile tornare alla sezione Nozioni di base selezionando Indietro.
10. Nella sezione Destinatari è possibile aggiungere uno o più indirizzi di posta elettronica che riceveranno notifiche. Separare più indirizzi aggiungendo una virgola alla fine di ogni indirizzo. Selezionare Aggiungi per aggiungere i destinatari. È possibile visualizzare i destinatari nella parte inferiore del riquadro dopo aver aggiunto correttamente gli indirizzi.
11. Testare la notifica selezionando Invia messaggio di posta elettronica di test. Selezionare Avanti nella parte inferiore del riquadro per passare alla sezione di revisione.
12. Controllare i dettagli della regola nella sezione Verifica regola . È possibile modificare i dettagli selezionando Modifica sotto i dettagli di ogni sezione.
13. Selezionare Invia nella parte inferiore del riquadro per completare la creazione della regola. I destinatari inizieranno a ricevere notifiche tramite posta elettronica in base alle impostazioni. La nuova regola viene visualizzata nell'elenco Regole notifiche nella scheda Azioni.
14. Per modificare o eliminare una regola di notifica, selezionare la regola dall'elenco. Selezionare Modifica per modificare i dettagli della regola. Selezionare Elimina per rimuovere la regola.

Dopo aver ottenuto la notifica, è possibile passare direttamente all'azione e rivedere o correggere l'azione.

Passaggi successivi

• Ottenere notifiche tramite posta elettronica in caso di eventi imprevisti
• Ottenere notifiche tramite posta elettronica sui nuovi report in Analisi delle minacce

Vedere anche

• Configurare le funzionalità di interruzione automatica degli attacchi
• Configurare l'indagine e la risposta automatizzate

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.