在 Microsoft Defender for Endpoint 中配置漏洞电子邮件通知

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

将 Microsoft Defender for Endpoint 配置为向指定收件人发送电子邮件通知,以发现新的漏洞事件。 此功能使你能够识别一组将立即获得通知的个人,并可以根据事件对通知进行操作。 漏洞信息来自 Microsoft Defender 漏洞管理

如果使用 Defender for Business,则只能为特定用户设置漏洞通知, (不能) 角色或组。

注意

  • 只有具有 Manage security settings 权限的用户才能配置电子邮件通知。 如果选择使用基本权限管理,则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。 详细了解权限选项
  • Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

通知规则允许设置触发通知的漏洞事件,以及添加或删除电子邮件通知收件人。 新收件人在添加漏洞后会收到有关漏洞的通知。

如果使用基于角色的访问控制 (RBAC) ,则收件人将仅接收基于通知规则中配置的设备组的通知。 具有适当权限的用户只能创建、编辑或删除仅限于其设备组管理范围的通知。 只有分配到全局管理员角色的用户才能管理为所有设备组配置的通知规则。

电子邮件通知包括有关漏洞事件的基本信息。 门户中的 Defender 漏洞管理 安全建议漏洞 页中还提供了已筛选视图的链接,以便可以进一步调查。 例如,可以获取所有公开设备的列表,或获取有关漏洞的其他详细信息。

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

创建警报通知规则

创建通知规则,以在存在某些攻击或漏洞事件(例如新的公共攻击)时发送电子邮件。 对于每个规则,可以选择多个事件类型。

  1. 登录到 Microsoft Defender 门户 ,并使用分配有安全管理员或全局管理员角色的帐户。

  2. 在导航窗格中,转到 “设置>终结点>常规>电子邮件通知>漏洞”。

  3. 选择 “添加通知规则”。

  4. 将电子邮件通知规则命名为并包含说明。

  5. 选中 “激活通知规则”。 选择“下一步”。

  6. 填写通知设置。 然后选择“下一步

    • 如果使用 Defender for Endpoint,请选择要为其获取通知的设备组。 (如果使用 Defender for Business,则设备组不会应用。)

    • 选择要在影响组织时收到通知的漏洞事件 () :

      • 发现 (包括严重性阈值) 的新漏洞

        注意

        这包括新检测到 的零日漏洞 和针对现有零日漏洞发布的修补程序。 有关详细信息,请参阅 修补零日漏洞

      • Exploit 已验证

      • 新的公共攻击

      • 已添加到攻击工具包的 Exploit

    • 如果需要电子邮件中的组织名称,请包含组织名称。

  7. 输入收件人电子邮件地址,然后选择“ 添加”。 可添加多个电子邮件地址。

  8. 查看新电子邮件通知规则的设置,并在准备好创建规则时选择“ 创建规则 ”。

编辑通知规则

  1. 选择要编辑的通知规则。

  2. 选择浮出控件中铅笔图标旁边的 “编辑规则 ”按钮。 请确保你有权编辑或删除规则。

删除通知规则

  1. 选择要删除的通知规则。

  2. 选择浮出控件中垃圾桶图标旁边的 “删除 ”按钮。 请确保你有权编辑或删除规则。

排查警报的电子邮件通知问题

本部分列出了使用电子邮件通知进行警报时可能遇到的各种问题。

问题: 预期收件人报告他们未收到通知。

溶液: 确保电子邮件筛选器未阻止通知:

  1. 检查 Defender for Endpoint 电子邮件通知是否未发送到“垃圾邮件”文件夹。 将它们标记为非垃圾邮件。

  2. 检查电子邮件安全产品是否未阻止来自 Defender for Endpoint 的电子邮件通知。

  3. 检查可能正在捕获和移动 Defender for Endpoint 电子邮件通知的电子邮件应用程序规则。

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区