在 Configuration Manager 中配置 Endpoint Protection 的警报

适用于: Configuration Manager(current branch)

可以在 Microsoft Configuration Manager 中配置 Endpoint Protection 警报,以便在层次结构中发生特定事件(如恶意软件感染)时通知管理用户。 通知显示在“监视”工作区的“警报”节点的 Configuration Manager 控制台的 Endpoint Protection 仪表板中,也可以通过电子邮件发送给指定的用户。

使用本主题中的以下步骤和补充过程为 Configuration Manager 中的 Endpoint Protection 配置警报。

重要

必须具有集合的 “强制安全” 权限才能配置 Endpoint Protection 警报。

在 Configuration Manager 中配置 Endpoint Protection 警报的步骤

  1. 在 Configuration Manager 控制台中,单击“ 资产和符合性”。

  2. “资产和符合性” 工作区中,单击“ 设备集合”。

  3. “设备集合” 列表中,选择要为其配置警报的集合,然后在“ 主页 ”选项卡上的“ 属性” 组中,单击“ 属性”。

    注意

    无法为用户集合配置警报。

  4. 如果要在 Configuration Manager 控制台的<“监视”工作区中查看有关此集合的反恶意软件操作的详细信息,请在“集合名称>属性”对话框的“警报”选项卡上,选择“在 Endpoint Protection 仪表板中查看此集合”。

    注意

    此选项不适用于 “所有系统” 集合。

  5. 在“集合名称>属性”对话框的<警报”选项卡上,单击“添加”。

  6. “添加新集合警报 ”对话框的“ 应用这些条件时生成警报 ”部分,选择希望 Configuration Manager 在发生指定的 Endpoint Protection 事件时生成的警报,然后单击“ 确定”。

  7. 在“警报”选项卡的“条件”列表中,选择每个 Endpoint Protection 警报,然后指定以下信息:

    • 警报名称 - 接受默认名称或输入警报的新名称。

    • 警报严重性 - 在列表中,选择要在 Configuration Manager 控制台中显示的警报级别。

  8. 根据所选的警报,指定以下附加信息:

    • 恶意软件检测 - 如果在监视的集合中的任何计算机上检测到恶意软件,则会生成此警报。 恶意软件检测阈值指定生成此警报的恶意软件检测级别:

      • 高 - 所有检测 - 当指定集合中有一台或多台检测到任何恶意软件的计算机时,无论 Endpoint Protection 客户端采取何种操作,都会生成警报。

      • 中 - 检测到,挂起操作 - 当指定集合中存在一台或多台检测到恶意软件的计算机时,将生成警报,并且必须手动删除恶意软件。

      • 低 - 检测到,仍处于活动状态 - 当指定集合中有一台或多台计算机检测到恶意软件并且仍然处于活动状态时,将生成警报。

    • 恶意软件爆发 - 如果在所监视的集合中的指定百分比计算机上检测到指定的恶意软件,则会生成此警报。

      • 检测到恶意软件的计算机的百分比 - 当集合中检测到具有恶意软件的计算机的百分比超过指定的百分比时,将生成警报。 指定 199 的百分比。

        注意

        百分比值基于集合中的计算机数,但不包括未安装 Configuration Manager 客户端的计算机。 它包括尚未安装 Endpoint Protection 客户端的计算机。

    • 重复的恶意软件检测 - 如果在所监视的集合中的计算机上检测到特定恶意软件的次数超过指定的小时数,则会生成此警报。 指定以下信息以配置此警报:

      • 检测到恶意软件的次数: - 在集合中的计算机上检测到相同恶意软件的次数超过指定的次数时,将生成警报。 指定 232 的数字。

      • 检测 (小时) 间隔: 指定检测间隔 ((以小时为单位),) 必须进行恶意软件检测。 指定一个介于 1168 的数字。

    • 多个恶意软件检测 - 如果在所监视的集合中的计算机上在指定小时数内检测到超过指定数量的恶意软件类型,则会生成此警报。 指定以下信息以配置此警报:

      • 检测到的恶意软件类型数: 在集合中的计算机上检测到指定数量的不同恶意软件类型时,将生成警报。 指定 232 的数字。

      • 检测 (小时) 间隔: 指定检测间隔(以小时为单位),恶意软件检测必须在此间隔内发生。 指定一个介于 1168 的数字。

  9. 单击“ 确定” 关闭“ <集合名称>属性 ”对话框。

针对过时恶意软件客户端的警报

从 Configuration Manager 版本 1702 开始,可以配置警报以确保 Endpoint Protection 客户端不会过时。 从任何设备集合中,现在可以向以下属性“ 反恶意软件客户端版本 ”和 “Endpoint Protection 部署状态”列表添加列。 例如,在控制台中,导航到 “资产和符合性>概述>”“设备集合>所有桌面和服务器客户端”。 右键单击列标题,然后选择要添加的列。 若要检查警报,请在“监视”工作区中查看“警报”。 如果超过 20% 的托管客户端运行的是已过期版本的反恶意软件,则会显示“反恶意软件客户端版本已过时”警报。 此警报不会显示在“ 监视>概述 ”选项卡上。若要更新过期的反恶意软件客户端,请为反恶意软件客户端启用软件更新。

若要配置生成警报的百分比,请展开“ 监视>警报>所有警报”,双击“ 反恶意软件客户端过期 ”,并修改“ 如果具有过时版本的反恶意软件客户端的托管客户端的百分比超过选项,则引发警报 ”。