在 Microsoft Defender for Endpoint 中配置漏洞电子邮件通知

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

配置Microsoft Defender for Endpoint,以将新的漏洞事件电子邮件通知发送给指定的收件人。 此功能使你能够识别一组将立即获得通知的个人,并可以根据事件对通知进行操作。 漏洞信息来自Microsoft Defender 漏洞管理

如果使用Defender 商业版,则可以仅为特定用户设置漏洞通知, (不能) 角色或组。

注意

  • 只有具有Manage security settings权限的用户才能配置电子邮件通知。 如果选择使用基本权限管理,则具有适当角色(例如安全管理员)的用户可以配置电子邮件通知。 详细了解权限选项
  • Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

通知规则允许设置触发通知的漏洞事件,以及添加或删除电子邮件通知收件人。 新收件人在添加漏洞后会收到有关漏洞的通知。

如果使用基于角色的访问控制 (RBAC) ,则收件人仅接收基于通知规则中配置的设备组的通知。 具有适当权限的用户只能创建、编辑或删除仅限于其设备组管理范围的通知。 只有分配到管理员角色的用户(例如安全管理员)才能管理为所有设备组配置的通知规则。

电子邮件通知包括有关漏洞事件的基本信息。 门户中的“Defender 漏洞管理安全建议”和“漏洞”页中还提供了筛选视图的链接,以便可以进一步调查。 例如,可以获取所有公开设备的列表,或获取有关漏洞的其他详细信息。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

创建警报通知规则

创建通知规则,以在存在某些攻击或漏洞事件(例如新的公共攻击)时发送电子邮件。 对于每个规则,可以选择多个事件类型。

  1. 登录到Microsoft Defender门户,并使用分配有安全管理员角色的帐户。

  2. 在导航窗格中,转到“设置>终结点>常规>Email通知>漏洞”。

  3. 选择 “添加通知规则”。

  4. 将电子邮件通知规则命名为并包含说明。

  5. 选中 “激活通知规则”。 选择“下一步”。

  6. 填写通知设置。 然后选择“下一步

    • 如果使用 Defender for Endpoint,请选择要为其获取通知的设备组。 (如果使用Defender 商业版,则设备组不会应用。)

    • 选择要在影响组织时收到通知的漏洞事件 () :

      • 发现 (包括严重性阈值) 的新漏洞

        注意

        这包括新检测到 的零日漏洞 和针对现有零日漏洞发布的修补程序。 有关详细信息,请参阅 修补零日漏洞

      • Exploit 已验证

      • 新的公共攻击

      • 已添加到攻击工具包的 Exploit

    • 如果需要电子邮件中的组织名称,请包含组织名称。

  7. 输入收件人电子邮件地址,然后选择“ 添加”。 可添加多个电子邮件地址。

  8. 查看新电子邮件通知规则的设置,并在准备好创建规则时选择“ 创建规则 ”。

编辑通知规则

  1. 选择要编辑的通知规则。

  2. 选择浮出控件中铅笔图标旁边的 “编辑规则 ”按钮。 请确保你有权编辑或删除规则。

删除通知规则

  1. 选择要删除的通知规则。

  2. 选择浮出控件中垃圾桶图标旁边的 “删除 ”按钮。 请确保你有权编辑或删除规则。

排查警报电子邮件通知问题

本部分列出了在对警报使用电子邮件通知时可能遇到的各种问题。

问题: 预期收件人报告他们未收到通知。

溶液: 确保电子邮件筛选器未阻止通知:

  1. 检查 Defender for Endpoint 电子邮件通知是否未发送到“垃圾邮件Email”文件夹。 将它们标记为非垃圾邮件。

  2. 检查电子邮件安全产品是否未阻止来自 Defender for Endpoint 的电子邮件通知。

  3. 检查可能正在捕获和移动 Defender for Endpoint 电子邮件通知的电子邮件应用程序规则。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区