Pobieranie powiadomień o zdarzeniach pocztą e-mail
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Możesz skonfigurować powiadomienia e-mail dla pracowników, aby otrzymywać powiadomienia o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń. Możesz wybrać opcję otrzymywania powiadomień na podstawie:
- Ważność alertu
- Źródła alertów
- Grupa urządzeń
Wybierz opcję otrzymywania powiadomień e-mail tylko dla określonego źródła usługi: możesz łatwo wybrać określone źródła usług, dla których chcesz otrzymywać powiadomienia e-mail.
Uzyskaj większy stopień szczegółowości z określonymi źródłami wykrywania: powiadomienia można otrzymywać tylko dla określonego źródła wykrywania.
Ustaw ważność na wykrywanie lub źródło usługi: możesz otrzymywać powiadomienia e-mail tylko o określonych ważnościach na źródło. Można na przykład otrzymywać powiadomienia o alertach średnich i wysokich dla EDR oraz o wszystkich ważnościach dla ekspertów Microsoft Defender.
Powiadomienie e-mail zawiera między innymi ważne szczegóły dotyczące zdarzenia, takie jak nazwa zdarzenia, ważność i kategorie. Możesz również przejść bezpośrednio do zdarzenia i od razu rozpocząć analizę. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń.
W powiadomieniach e-mail można dodawać lub usuwać adresatów. Nowi adresaci otrzymują powiadomienia o zdarzeniach po ich dodaniu.
Uwaga
Aby skonfigurować ustawienia powiadomień e-mail, potrzebne jest uprawnienie Zarządzanie ustawieniami zabezpieczeń . Jeśli wybrano użycie podstawowego zarządzania uprawnieniami, użytkownicy z rolami administratora zabezpieczeń lub administratora globalnego mogą konfigurować powiadomienia e-mail.
Podobnie, jeśli organizacja korzysta z kontroli dostępu opartej na rolach (RBAC), możesz tworzyć, edytować, usuwać i odbierać powiadomienia na podstawie grup urządzeń, które mogą być zarządzane.
Uwaga
Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.
Tworzenie reguły dla powiadomień e-mail
Wykonaj następujące kroki, aby utworzyć nową regułę i dostosować ustawienia powiadomień e-mail.
Przejdź do portalu Microsoft Defender. W okienku nawigacji wybierz pozycję Ustawienia > Microsoft Defender XDR, a następnie wybierz pozycję Email powiadomienia w obszarze Ogólne.
Na karcie Incydenty wybierz pozycję Dodaj regułę powiadomienia o zdarzeniu.
Na stronie Podstawy wpisz nazwę reguły i opis, a następnie wybierz pozycję Dalej.
Na stronie Ustawienia powiadomień skonfiguruj:
- Ważność alertu — wybierz ważność alertów, które wyzwalają powiadomienie o zdarzeniu. Jeśli na przykład chcesz mieć tylko informacje o zdarzeniach o wysokiej ważności, wybierz pozycję Wysoki.
- Zakres grupy urządzeń — możesz określić wszystkie grupy urządzeń lub wybrać z listy grup urządzeń w dzierżawie.
- Wyślij tylko jedno powiadomienie na zdarzenie — wybierz, czy chcesz mieć jedno powiadomienie na zdarzenie.
- Dołącz nazwę organizacji do wiadomości e-mail — wybierz, czy nazwa organizacji ma być wyświetlana w powiadomieniu e-mail.
- Dołącz link do portalu specyficznego dla dzierżawy — wybierz, czy chcesz dodać link z identyfikatorem dzierżawy w powiadomieniu e-mail w celu uzyskania dostępu do określonej dzierżawy platformy Microsoft 365.
Wybierz pozycję Dalej. Na stronie Adresaci dodaj adresy e-mail, na których mają być wysyłane powiadomienia o zdarzeniu. Wybierz pozycję Dodaj po wpisaniu każdego nowego adresu e-mail. Aby przetestować powiadomienia i upewnić się, że adresaci otrzymają je w skrzynkach odbiorczych, wybierz pozycję Wyślij testowy adres e-mail.
Wybierz pozycję Dalej. Na stronie Przejrzyj regułę przejrzyj ustawienia reguły, a następnie wybierz pozycję Utwórz regułę. Adresaci zaczną otrzymywać powiadomienia o zdarzeniach za pośrednictwem poczty e-mail na podstawie ustawień.
Aby edytować istniejącą regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Edytuj regułę i wprowadź zmiany na stronach Podstawy, Ustawienia powiadomień i Adresaci .
Aby usunąć regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Usuń.
Po otrzymaniu powiadomienia możesz przejść bezpośrednio do zdarzenia i od razu rozpocząć dochodzenie. Aby uzyskać więcej informacji na temat badania zdarzeń, zobacz Badanie zdarzeń.