Udostępnij za pośrednictwem

Pobieranie powiadomień o zdarzeniach pocztą e-mail

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Możesz skonfigurować powiadomienia e-mail dla pracowników, aby otrzymywać powiadomienia o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń. Możesz wybrać opcję otrzymywania powiadomień na podstawie:

  • Ważność alertu
  • Źródła alertów
  • Grupa urządzeń

Wybierz opcję otrzymywania powiadomień e-mail tylko dla określonego źródła usługi: możesz łatwo wybrać określone źródła usług, dla których chcesz otrzymywać powiadomienia e-mail.

Uzyskaj większy stopień szczegółowości z określonymi źródłami wykrywania: powiadomienia można otrzymywać tylko dla określonego źródła wykrywania.

Ustaw ważność na wykrywanie lub źródło usługi: możesz otrzymywać powiadomienia e-mail tylko o określonych ważnościach na źródło. Można na przykład otrzymywać powiadomienia o alertach średnich i wysokich dla EDR oraz o wszystkich ważnościach dla ekspertów Microsoft Defender.

Powiadomienie e-mail zawiera między innymi ważne szczegóły dotyczące zdarzenia, takie jak nazwa zdarzenia, ważność i kategorie. Możesz również przejść bezpośrednio do zdarzenia i od razu rozpocząć analizę. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń.

W powiadomieniach e-mail można dodawać lub usuwać adresatów. Nowi adresaci otrzymują powiadomienia o zdarzeniach po ich dodaniu.

Uwaga

Aby skonfigurować ustawienia powiadomień e-mail, potrzebne jest uprawnienie Zarządzanie ustawieniami zabezpieczeń . Jeśli wybrano użycie podstawowego zarządzania uprawnieniami, użytkownicy z rolami administratora zabezpieczeń lub administratora globalnego mogą konfigurować powiadomienia e-mail.

Podobnie, jeśli organizacja korzysta z kontroli dostępu opartej na rolach (RBAC), możesz tworzyć, edytować, usuwać i odbierać powiadomienia na podstawie grup urządzeń, które mogą być zarządzane.

Uwaga

Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.

Tworzenie reguły dla powiadomień e-mail

Wykonaj następujące kroki, aby utworzyć nową regułę i dostosować ustawienia powiadomień e-mail.

  1. Przejdź do portalu Microsoft Defender. W okienku nawigacji wybierz pozycję Ustawienia > Microsoft Defender XDR, a następnie wybierz pozycję Email powiadomienia w obszarze Ogólne.

  2. Na karcie Incydenty wybierz pozycję Dodaj regułę powiadomienia o zdarzeniu.

  3. Na stronie Podstawy wpisz nazwę reguły i opis, a następnie wybierz pozycję Dalej.

  4. Na stronie Ustawienia powiadomień skonfiguruj:

    • Ważność alertu — wybierz ważność alertów, które wyzwalają powiadomienie o zdarzeniu. Jeśli na przykład chcesz mieć tylko informacje o zdarzeniach o wysokiej ważności, wybierz pozycję Wysoki.
    • Zakres grupy urządzeń — możesz określić wszystkie grupy urządzeń lub wybrać z listy grup urządzeń w dzierżawie.
    • Wyślij tylko jedno powiadomienie na zdarzenie — wybierz, czy chcesz mieć jedno powiadomienie na zdarzenie.
    • Dołącz nazwę organizacji do wiadomości e-mail — wybierz, czy nazwa organizacji ma być wyświetlana w powiadomieniu e-mail.
    • Dołącz link do portalu specyficznego dla dzierżawy — wybierz, czy chcesz dodać link z identyfikatorem dzierżawy w powiadomieniu e-mail w celu uzyskania dostępu do określonej dzierżawy platformy Microsoft 365.

    Zrzut ekranu przedstawiający stronę Ustawienia powiadomień dla powiadomień e-mail o zdarzeniu w portalu Microsoft Defender.

  5. Wybierz pozycję Dalej. Na stronie Adresaci dodaj adresy e-mail, na których mają być wysyłane powiadomienia o zdarzeniu. Wybierz pozycję Dodaj po wpisaniu każdego nowego adresu e-mail. Aby przetestować powiadomienia i upewnić się, że adresaci otrzymają je w skrzynkach odbiorczych, wybierz pozycję Wyślij testowy adres e-mail.

  6. Wybierz pozycję Dalej. Na stronie Przejrzyj regułę przejrzyj ustawienia reguły, a następnie wybierz pozycję Utwórz regułę. Adresaci zaczną otrzymywać powiadomienia o zdarzeniach za pośrednictwem poczty e-mail na podstawie ustawień.

Aby edytować istniejącą regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Edytuj regułę i wprowadź zmiany na stronach Podstawy, Ustawienia powiadomień i Adresaci .

Aby usunąć regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Usuń.

Po otrzymaniu powiadomienia możesz przejść bezpośrednio do zdarzenia i od razu rozpocząć dochodzenie. Aby uzyskać więcej informacji na temat badania zdarzeń, zobacz Badanie zdarzeń.

Następne kroki