Поделиться через

Получение уведомлений по электронной почте о действиях ответа в XDR в Microsoft Defender

  • Статья

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Вы можете настроить XDR в Microsoft Defender, чтобы уведомлять вас по электронной почте о действиях, выполняемых вручную или автоматически.

Действия реагирования вручную — это действия, которые группы безопасности могут использовать для остановки угроз или оказания помощи в расследовании атак. Эти действия зависят от рабочей нагрузки Defender, включенной в вашей среде.

С другой стороны, автоматизированные действия реагирования — это возможности XDR в Microsoft Defender, которые автоматически масштабируют исследование и устраняют угрозы. Возможности автоматического исправления включают автоматическое прерывание атак , а также автоматическое исследование и реагирование.

Примечание.

Для настройки параметров уведомлений по электронной почте требуется разрешение Управление параметрами безопасности . Если вы решили использовать базовое управление разрешениями, пользователи с ролями "Администратор безопасности" или "Глобальный администратор" могут настраивать уведомления по электронной почте. Аналогичным образом, если ваша организация использует управление доступом на основе ролей (RBAC), вы можете создавать, изменять, удалять и получать уведомления только на основе групп устройств, которыми вы можете управлять.

Примечание.

Корпорация Майкрософт рекомендует использовать роли с меньшим количеством разрешений для повышения безопасности. Роль глобального администратора, которая имеет много разрешений, должна использоваться только в чрезвычайных ситуациях, когда другая роль не подходит.

Создание правила для уведомлений по электронной почте

Примечание.

Уведомление по электронной почте о действии ответа в настоящее время не поддерживает пользовательские обнаружения, содержащие действия ответа.

Чтобы создать правило для уведомлений по электронной почте, выполните следующие действия.

  1. В области навигации XDR в Microsoft Defender выберите Параметры > XDR Microsoft Defender. В разделе Общие выберите Уведомления по электронной почте. Перейдите на вкладку Действия . Вкладка Действия на странице параметров XDR в Microsoft Defender
  2. Выберите Добавить правило уведомлений. Добавьте имя правила и описание в разделе Основные сведения. Поля Имя и Описание принимают только буквы, цифры и пробелы. Раздел
  3. Перейдите к следующему разделу, выбрав Далее в нижней части панели.
  4. Вы можете выбрать тип действия, состояние и источник источника действия в разделе Параметры уведомлений . Раздел параметров уведомлений правила добавления уведомлений
  5. В разделе Источник действия выберите, хотите ли вы получать уведомления о действиях, выполняемых вручную или автоматически. Вы можете выбрать оба варианта.
  6. Выберите конкретные действия ответа в контрольном списке, который отображается в разделе Действие. Вы можете выбрать несколько действий, доступных в контрольном списке. Обратите внимание, что действия реагирования зависят от рабочей нагрузки Defender, включенной в вашей среде. Все выбранные действия отображаются в поле Действие после завершения. Выделение поля
  7. Вы можете получать уведомления на основе групп устройств, в которых применяются действия ответа в области Группы устройств. Чтобы получать уведомления о действиях реагирования, выполняемых во всех текущих и будущих группах устройств, выберите Все группы устройств . Чтобы получать уведомления об ответных действиях, выполняемых на устройствах, принадлежащих выбранной группе устройств, выберите Выбранные группы устройств. Выделение области
  8. Выберите, хотите ли вы получать уведомления о завершении или сбое действия в поле Состояние действия . Вы можете выбрать все доступные параметры.
  9. В нижней части панели можно перейти к следующему разделу, нажав кнопку Далее. Кроме того, можно вернуться к разделу Основные сведения, выбрав Назад.
  10. В разделе Получатели можно добавить один или несколько адресов электронной почты, которые будут получать уведомления. Разделите несколько адресов, добавив запятую в конец каждого адреса. Нажмите кнопку Добавить , чтобы добавить получателей. Получатели отображаются в нижней части области после успешного добавления адресов. Добавление нескольких адресов в раздел Получатели правила добавления уведомлений
  11. Протестируйте уведомление, выбрав Отправить тестовое сообщение электронной почты. Нажмите кнопку Далее в нижней части области, чтобы перейти к разделу проверки.
  12. Проверьте сведения о правиле в разделе Проверка правила . Вы можете изменить сведения, выбрав Изменить под сведениями каждого раздела. Выделение параметра
  13. Нажмите кнопку Отправить в нижней части панели, чтобы завершить создание правила. Получатели начнут получать уведомления по электронной почте в зависимости от параметров. Новое правило появится в списке Правила уведомлений на вкладке Действия.
  14. Чтобы изменить или удалить правило уведомлений, выберите правило из списка. Выберите Изменить , чтобы изменить сведения о правиле. Выберите Удалить , чтобы удалить правило. Выделение параметров

Получив уведомление, вы можете перейти непосредственно к действию и просмотреть или исправить действие.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.