通过电子邮件获取事件通知

• 适用于:

  Microsoft Defender XDR

重要

本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

可以设置电子邮件通知，让员工收到有关新事件或现有事件的更新的通知。 可以根据以下条件选择获取通知：

• 警报严重性
• 警报源
• 设备组

选择仅针对特定服务源接收电子邮件通知：可以轻松选择要为其获取电子邮件通知的特定服务源。

使用特定检测源获取更多粒度：只能获取特定检测源的通知。

设置每个检测或服务源的严重性：可以选择仅在每个源的特定严重性上获取电子邮件通知。 例如，你可以收到有关 EDR 的中高警报以及Microsoft Defender专家的所有严重性的通知。

电子邮件通知包含有关事件的重要详细信息，例如事件名称、严重性和类别等。 还可以直接转到事件并立即开始分析。 有关详细信息，请参阅 调查事件。

可以在电子邮件通知添加或删除收件人。 新收件人在添加事件后会收到有关事件的通知。

注意

需要 “管理安全设置” 权限才能配置电子邮件通知设置。 如果选择使用基本权限管理，则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。

同样，如果组织使用基于角色的访问控制 (RBAC) ，则只能基于允许管理的设备组创建、编辑、删除和接收通知。

注意

Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限，仅当没有其他角色适合时，才应在紧急情况下使用。

为电子邮件通知创建规则

按照以下步骤创建新规则并自定义电子邮件通知设置。

1. 转到Microsoft Defender门户。 在导航窗格中，选择“设置>Microsoft Defender XDR”，然后选择“常规”下的“Email通知”。

2. 在“ 事件 ”选项卡中，选择“ 添加事件通知规则”。

3. 在 “基本信息 ”页上，键入规则名称和说明，然后选择“ 下一步”。

4. 在 “通知设置” 页上，配置：

   • 警报严重性 - 选择触发事件通知的警报严重性。 例如，如果只想了解高严重性事件，请选择“ 高”。
   • 设备组范围 - 可以指定所有设备组或从租户中的设备组列表中进行选择。
   • 每个事件仅发送一个通知 - 选择是否希望每个事件一个通知。
   • 在电子邮件中包含组织名称 - 选择是否希望组织名称显示在电子邮件通知中。
   • 包括特定于租户的门户链接 - 选择是否要在电子邮件通知中添加包含租户 ID 的链接，以便访问特定的 Microsoft 365 租户。

   

5. 选择 下一步。 在 “收件人 ”页上，添加要向其发送事件通知的电子邮件地址。 键入每个新电子邮件地址后，选择“ 添加 ”。 若要测试通知并确保收件人在收件箱中收到通知，请选择“ 发送测试电子邮件”。

6. 选择 下一步。 在“ 审阅规则 ”页上，查看规则的设置，然后选择“ 创建规则”。 收件人将根据设置开始通过电子邮件接收事件通知。

若要编辑现有规则，请从规则列表中选择它。 在带有规则名称的窗格中，选择“ 编辑规则 ”，并在 “基本信息”、“ 通知设置”和“ 收件人 ”页上进行更改。

若要删除规则，请从规则列表中选择它。 在具有规则名称的窗格中，选择“ 删除”。

收到通知后，可以直接转到事件并立即开始调查。 有关调查事件的详细信息，请参阅 调查事件。

后续步骤

• 获取响应操作电子邮件通知
• 在威胁分析中获取有关新报表的电子邮件通知