在 Microsoft Defender for Endpoint 中配置漏洞电子邮件通知
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
希望体验 Defender for Endpoint? 注册免费试用版。
配置Microsoft Defender for Endpoint,以将新的漏洞事件电子邮件通知发送给指定的收件人。 此功能使你能够识别一组将立即获得通知的个人,并可以根据事件对通知进行操作。 漏洞信息来自Microsoft Defender 漏洞管理。
如果使用Defender 商业版,则可以仅为特定用户设置漏洞通知, (不能) 角色或组。
注意
- 只有具有
Manage security settings
权限的用户才能配置电子邮件通知。 如果选择使用基本权限管理,则具有适当角色(例如安全管理员)的用户可以配置电子邮件通知。 详细了解权限选项 - Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
通知规则允许设置触发通知的漏洞事件,以及添加或删除电子邮件通知收件人。 新收件人在添加漏洞后会收到有关漏洞的通知。
如果使用基于角色的访问控制 (RBAC) ,则收件人仅接收基于通知规则中配置的设备组的通知。 具有适当权限的用户只能创建、编辑或删除仅限于其设备组管理范围的通知。 只有分配到管理员角色的用户(例如安全管理员)才能管理为所有设备组配置的通知规则。
电子邮件通知包括有关漏洞事件的基本信息。 门户中的“Defender 漏洞管理安全建议”和“漏洞”页中还提供了筛选视图的链接,以便可以进一步调查。 例如,可以获取所有公开设备的列表,或获取有关漏洞的其他详细信息。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
创建警报通知规则
创建通知规则,以在存在某些攻击或漏洞事件(例如新的公共攻击)时发送电子邮件。 对于每个规则,可以选择多个事件类型。
登录到Microsoft Defender门户,并使用分配有安全管理员角色的帐户。
在导航窗格中,转到“设置>终结点>常规>Email通知>漏洞”。
选择 “添加通知规则”。
将电子邮件通知规则命名为并包含说明。
选中 “激活通知规则”。 选择“下一步”。
填写通知设置。 然后选择“下一步”
如果使用 Defender for Endpoint,请选择要为其获取通知的设备组。 (如果使用Defender 商业版,则设备组不会应用。)
选择要在影响组织时收到通知的漏洞事件 () :
发现 (包括严重性阈值) 的新漏洞
Exploit 已验证
新的公共攻击
已添加到攻击工具包的 Exploit
如果需要电子邮件中的组织名称,请包含组织名称。
输入收件人电子邮件地址,然后选择“ 添加”。 可添加多个电子邮件地址。
查看新电子邮件通知规则的设置,并在准备好创建规则时选择“ 创建规则 ”。
编辑通知规则
选择要编辑的通知规则。
选择浮出控件中铅笔图标旁边的 “编辑规则 ”按钮。 请确保你有权编辑或删除规则。
删除通知规则
选择要删除的通知规则。
选择浮出控件中垃圾桶图标旁边的 “删除 ”按钮。 请确保你有权编辑或删除规则。
排查警报电子邮件通知问题
本部分列出了在对警报使用电子邮件通知时可能遇到的各种问题。
问题: 预期收件人报告他们未收到通知。
溶液: 确保电子邮件筛选器未阻止通知:
检查 Defender for Endpoint 电子邮件通知是否未发送到“垃圾邮件Email”文件夹。 将它们标记为非垃圾邮件。
检查电子邮件安全产品是否未阻止来自 Defender for Endpoint 的电子邮件通知。
检查可能正在捕获和移动 Defender for Endpoint 电子邮件通知的电子邮件应用程序规则。
相关文章
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。