Политики оповещений в Microsoft 365

Примечание

Центр соответствия требованиям Microsoft 365 теперь называется Microsoft Purview, а названия решений в области соответствия требованиям были изменены. Дополнительные сведения о Microsoft Purview см. в объявлении блога и в статье "Что такое Microsoft Purview?".

Вы можете использовать политики оповещений и панель мониторинга оповещений на портале соответствия требованиям Microsoft Purview или на портале Microsoft 365 Defender, чтобы создать политики оповещений, а затем просмотреть оповещения, созданные при выполнении пользователями действий, соответствующих условиям политики оповещений. Существует несколько политик оповещений по умолчанию, которые помогают отслеживать такие действия, как назначение привилегий администратора в Exchange Online, вредоносные программы, фишинговые кампании и необычные уровни удаления файлов и внешнего общего доступа.

Совет

Список и описание доступных политик оповещений см. в разделе "Политики оповещений по умолчанию" этой статьи.

Политики оповещений позволяют классифицировать соответствующие оповещения, применять политику ко всем пользователям в организации, устанавливать пороговый уровень для активации оповещения и определять, нужно ли отправлять уведомления по электронной почте. Также есть страница "Оповещения", где можно просматривать и фильтровать оповещения, задавать состояние оповещений для управления оповещениями, а затем закрывать оповещения после устранения или устранения базового инцидента.

Примечание

Политики оповещений доступны для организаций с подпиской Microsoft 365 корпоративный, Office 365 корпоративный или Office 365 для государственных организаций США E1/F1/G1, E3/F3/G3 или E5/G5. Расширенные функции доступны только для организаций с подпиской E5/G5 или для организаций, у которых есть подписка E1/F1/G1 или E3/F3/G3 и Microsoft Defender для Office 365 P2 или Соответствие требованиям Microsoft 365 E5 или подписка на надстройку E5 eDiscovery and Audit. В этом разделе выделены функциональные возможности, для которых требуется подписка на E5/G5 или надстройку. Также обратите внимание, что политики оповещений доступны в Office 365 GCC, GCC High и DoD для государственных организаций США.

Как работают политики оповещений?

Ниже приведен краткий обзор принципов работы политик оповещений и оповещений, которые активируются, когда действия пользователя или администратора соответствуют условиям политики оповещений.

Общие сведения о том, как работают политики оповещений.

  1. Администратор в организации создает, настраивает и включает политику оповещений с помощью страницы "Политики оповещений" на портале соответствия требованиям или Microsoft 365 Defender портале. Вы также можете создавать политики оповещений с помощью командлета New-ProtectionAlert в PowerShell & security.

    Чтобы создать политики оповещений, необходимо назначить роль "Управление оповещениями" или "Конфигурация организации" на портале соответствия требованиям или на портале Defender.

    Примечание

    Создание или обновление политики оповещений для активации оповещений может занять до 24 часов. Это связано с тем, что политика должна быть синхронизирована с обработчиком обнаружения оповещений.

  2. Пользователь выполняет действие, соответствующее условиям политики генерации оповещений. В случае вредоносных программ зараженные сообщения электронной почты, отправляемые пользователям в организации, вызывают оповещение.

  3. Microsoft 365 создает оповещение, отображаемое на странице оповещений на портале соответствия требованиям или портале Defender. Кроме того, если для политики оповещений включены уведомления по электронной почте, корпорация Майкрософт отправляет уведомление списку получателей. Оповещения, которые администратор или другие пользователи могут видеть на странице оповещений, определяются ролями, назначенными пользователю. Дополнительные сведения см. в разделе о разрешениях RBAC, необходимых для просмотра оповещений.

  4. Администратор управляет оповещениями на портале соответствия требованиям Microsoft Purview. Управление оповещениями состоит из назначения состояния оповещений для отслеживания любого исследования и управления им.

Параметры политики оповещений

Политика оповещений содержит такие компоненты: набор правил и условий, определяющих действия пользователя или администратора, для которых будет создаваться оповещение; список пользователей, о чьих действиях будут создаваться оповещения; пороговое значение, определяющее, сколько раз должно выполняться действие, прежде чем для него будет создано оповещение. Вы также классифицируете политику и назначаете ей уровень важности. Эти два параметра помогают управлять политиками оповещений (и оповещениями, которые активируются при сопоставлении условий политики), так как вы можете фильтровать эти параметры при управлении политиками и просмотре оповещений на портале соответствия Требованиям Microsoft Purview. Например, можно просмотреть оповещения, соответствующие условиям из той же категории, или просмотреть оповещения с одинаковым уровнем серьезности.

Чтобы просмотреть и создать политики оповещений, выполните следующее.

Портал соответствия требованиям Microsoft Purview

Перейдите на портал соответствия требованиям, а затем выберите политики оповещений > об > оповещениях политик.

На портале соответствия Требованиям Microsoft Purview выберите "Политики", а затем в разделе "Оповещение" выберите "Политики оповещений", чтобы просмотреть и создать политики оповещений.

Портал Microsoft 365 Defender

Перейдите на портал Microsoft 365 Defender, в разделе Электронная почта и совместная работа выберите Политики и правила > Политика оповещений. Кроме того, можно перейти непосредственно по адресу https://security.microsoft.com/alertpolicies.

На портале Defender выберите политики & в разделе "Электронная почта & совместной работы", а затем выберите политику оповещений, чтобы просмотреть и создать политики оповещений.

Примечание

Вам должна быть назначена роль View-Only управления оповещениями для просмотра политик оповещений на портале соответствия требованиям Microsoft Purview или Microsoft 365 Defender портале. Для создания и изменения политик оповещений необходимо назначить роль "Управление оповещениями". Дополнительные сведения см. в статье Разрешения на портале соответствия требованиям Microsoft Purview.

Политика оповещений состоит из следующих параметров и условий.

  • Действие, отслеживаемого оповещением. Вы создаете политику для отслеживания действий или в некоторых случаях нескольких связанных действий, таких как предоставление внешнему пользователю общего доступа к файлу, назначение разрешений на доступ или создание анонимной ссылки. Если пользователь выполняет такое действие, при достижении порогового значения создается оповещение.

    Примечание

    Действия, которые можно отслеживать, зависят от плана Office 365 корпоративный или Office 365 правительства США. Как правило, для действий, связанных с вредоносными программами и фишингами, требуется подписка E5/G5 или подписка E1/F1/G1 или E3/F3/G3 с подпиской на надстройку Defender для Office 365 (план 2).

  • Условия действия. Для большинства действий можно определить дополнительные условия, которые должны быть выполнены для активации оповещения. К распространенным условиям относятся IP-адреса (чтобы оповещение активируется, когда пользователь выполняет действие на компьютере с определенным IP-адресом или в диапазоне IP-адресов), активируется ли оповещение, если это действие выполняет конкретный пользователь или пользователь, а также выполняется ли действие с определенным именем файла или URL-адресом. Можно также настроить условие, которое активирует оповещение при выполнении действия любым пользователем в организации. Доступные условия зависят от выбранного действия.

Теги пользователей также можно определить в качестве условия политики оповещений. Это приводит к оповещениям, активируемой политикой, чтобы включить контекст затронутого пользователя. Вы можете использовать системные или пользовательские теги пользователей. Дополнительные сведения см. в разделе "Теги пользователей" Microsoft Defender для Office 365.

  • Когда оповещение активируется. Можно настроить параметр, который определяет, как часто может выполняться действие перед активацией оповещения. Это позволяет настроить политику для создания оповещения каждый раз, когда действие соответствует условиям политики, при превышении определенного порогового значения или при возникновении действия, которое отслеживается оповещением, становится необычным для вашей организации.

    Настройте способ активации оповещений в зависимости от того, когда происходит действие, пороговое значение или необычное действие для вашей организации.

    При выборе параметра на основе необычных действий корпорация Майкрософт устанавливает базовое значение, определяющее обычную частоту для выбранного действия. Установка этого базового плана занимает до семи дней, в течение которых оповещения не создаются. После установки базового плана оповещение активируется, когда частота действия, отслеживаемая политикой генерации оповещений, значительно превышает базовое значение. Для действий, связанных с аудитом (например, действий с файлами и папками), можно установить базовые показатели на основе одного пользователя или всех пользователей в организации. Для действий, связанных с вредоносными программами, можно создать базовый план на основе одного семейства вредоносных программ, одного получателя или всех сообщений в организации.

    Примечание

    Для настройки политик оповещений на основе порогового значения или на основе необычных действий требуется подписка E5/G5 или подписка E1/F1/G1 или E3/F3/G3 с Microsoft Defender для Office 365 P2, Соответствие требованиям Microsoft 365 E5 или Microsoft 365 Подписка на надстройку для обнаружения электронных данных и аудита. Организации с подпиской E1/F1/G1 и E3/F3/G3 могут создавать политики оповещений только в том случае, если оповещение активируется при каждом возникновении действия.

  • Категория оповещений. Чтобы помочь в отслеживании оповещений, созданных политикой, и управлении ими, можно назначить политике одну из следующих категорий.

    • Защита от потери данных

    • Управление жизненным циклом данных

    • Поток обработки почты

    • Permissions

    • Управление угрозами

    • Другие

    При возникновении действия, соответствующего условиям политики генерации оповещений, созданное оповещение помечается категорией, определенной в этом параметре. Это позволяет отслеживать оповещения с одинаковыми параметрами категории на странице оповещений на портале Microsoft Purview и управлять ими, так как вы можете сортировать и фильтровать оповещения по категориям.

  • Серьезность оповещения. Как и в категории оповещений, для политик оповещений назначается атрибут серьезности ("Низкий**", "** Средний **", "**Высокий" или "Информационный"). Когда выполняется действие, соответствующее условиям политики, новому оповещению присваивается заданная категория и уровень важности. Опять же, это позволяет отслеживать оповещения с одинаковыми параметрами серьезности и управлять ими на странице "Оповещения ". Например, можно отфильтровать список оповещений, чтобы отображались только оповещения с высоким уровнем серьезности.

    Совет

    При настройке политики оповещений рекомендуется назначить более высокий уровень серьезности действиям, которые могут привести к серьезным негативным последствиям, таким как обнаружение вредоносных программ после доставки пользователям, просмотр конфиденциальных или классифицированных данных, общий доступ к данным внешним пользователям или другие действия, которые могут привести к потере данных или угрозам безопасности. Это поможет определить приоритеты оповещений и действий, которые необходимо выполнить для изучения и устранения основных причин.

  • Автоматизированные исследования. Некоторые оповещения активируют автоматическое исследование для выявления потенциальных угроз и рисков, которые требуют исправления или устранения. В большинстве случаев эти оповещения активируются путем обнаружения вредоносных сообщений электронной почты или действий, но в некоторых случаях оповещения активируются действиями администратора на портале безопасности. Дополнительные сведения об автоматическом исследовании см. в статье "Автоматическое исследование и реагирование" (AIR) в Microsoft Defender для Office 365.

  • Уведомления по электронной почте. Вы можете настроить политику таким образом, чтобы уведомления по электронной почте отправляли (или не отправляли) списку пользователей при активации оповещения. Кроме того, можно задать ограничение на ежедневное уведомление, чтобы по достижении максимального количества уведомлений больше не отправлялся уведомление об оповещении в течение этого дня. Помимо уведомлений по электронной почте, вы или другие администраторы можете просматривать оповещения, активированные политикой, на странице "Оповещения ". Рассмотрите возможность включения уведомлений по электронной почте для политик оповещений определенной категории или с более высоким уровнем серьезности.

Политики оповещений по умолчанию

Корпорация Майкрософт предоставляет встроенные политики оповещений, которые помогают выявлять нарушения Exchange разрешений администратора, действия вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления жизненным циклом данных. На странице "Политики оповещений " имена этих встроенных политик выделены полужирным шрифтом, а тип политики определяется как "Система". Эти политики включены по умолчанию. Вы можете отключить эти политики (или снова включить), настроить список получателей для отправки уведомлений по электронной почте и установить ограничение ежедневного уведомления. Другие параметры этих политик изменить нельзя.

В следующей таблице перечислены доступные политики оповещений по умолчанию и категория, которой назначена каждая политика. Категория используется для определения оповещений, которые пользователь может просматривать на странице "Оповещения". Дополнительные сведения см. в разделе о разрешениях RBAC, необходимых для просмотра оповещений.

В таблице также указаны Office 365 корпоративный и Office 365 для государственных организаций США, необходимый для каждого из них. Некоторые политики оповещений по умолчанию доступны, если в вашей организации есть соответствующая подписка на надстройку в дополнение к подписке E1/F1/G1 или E3/F3/G3.

Политика оповещений по умолчанию Описание Категория Автоматическое исследование Enterprise подписки
Обнаружен потенциально вредоносный URL-адрес Создает оповещение, когда пользователь, защищенный Сейф Links в организации, щелкает вредоносную ссылку. Это событие активируется, когда изменения решения URL-адресов определяются Microsoft Defender для Office 365 или когда пользователи переопределяют страницы ссылок Сейф (на основе политики ссылок Microsoft 365 для бизнеса Сейф). Эта политика оповещений имеет параметр высокой серьезности. Для Defender для Office 365 P2, E5, G5 это оповещение автоматически активирует автоматическое исследование и реагирование в Office 365. Дополнительные сведения о событиях, которые активируются этим оповещением, см. в Сейф ссылки. Управление угрозами Да Подписка на надстройку E5/G5 или Defender для Office 365 P2
Выполнен результат отправки администратором Создает оповещение, когда отправка администратора завершает повторное сканирование отправленной сущности. Оповещение будет активироваться каждый раз, когда результат повторного сканирования отображается из отправки администратора. Эти оповещения призваны напоминать вам о том, что нужно просмотреть результаты предыдущих отправок , отправить сообщения, отправленные пользователем, чтобы получить последнюю проверку политики и повторно проверить решения, и помочь определить, имеют ли политики фильтрации в вашей организации предполагаемое влияние. Эта политика имеет параметр серьезности сведений . Управление угрозами Нет E1/F1, E3/F3 или E5
Администратор инициирует ручное исследование электронной почты Создает оповещение, когда администратор запускает ручное исследование сообщения электронной почты из обозревателя угроз. Дополнительные сведения см. в разделе "Пример: администратор безопасности инициирует исследование из обозревателя угроз". Это оповещение уведомляет вашу организацию о том, что исследование начато. Оповещение содержит сведения о том, кто его активирует, и ссылку на исследование. Эта политика имеет параметр серьезности "Информация". Управление угрозами Да Подписка на надстройку E5/G5 или Microsoft Defender для Office 365 P2
Исследование компрометации пользователей, активированного администратором Создает оповещение, когда администратор запускает ручное исследование компрометации пользователя отправителя электронной почты или получателя из обозревателя угроз. Дополнительные сведения см. в разделе "Пример. Администратор безопасности запускает исследование из обозревателя угроз", в котором показано, как запускается исследование по электронной почте вручную. Это оповещение уведомляет организацию о том, что начато исследование компрометации пользователей. Оповещение содержит сведения о том, кто его активирует, и ссылку на исследование. Эта политика имеет параметр средней серьезности. Управление угрозами Да Подписка на надстройку E5/G5 или Microsoft Defender для Office 365 P2
Создание правила пересылки или перенаправления Создает оповещение, когда кто-то в вашей организации создает правило папки "Входящие" для своего почтового ящика, которое пересылает или перенаправляет сообщения в другую учетную запись электронной почты. Эта политика отслеживает только правила папки "Входящие", созданные с Outlook в Интернете (прежнее название — Outlook Web App) или Exchange Online PowerShell. Эта политика имеет параметр серьезности сведений . Дополнительные сведения об использовании правил папки "Входящие" для переадресации и перенаправления электронной почты в Outlook в Интернете см. в статье "Использование правил Outlook в Интернете для автоматической пересылки сообщений в другую учетную запись". Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
Запущен поиск для обнаружения электронных данных или экспортированы его результаты Создает оповещение, когда кто-то использует средство поиска контента на портале Microsoft Purview. Оповещение активируется при выполнении следующих действий поиска контента:

  • Поиск контента запущен
  • Результаты поиска контента экспортируются
  • Экспортируется отчет о поиске контента

    Оповещения также активируются при выполнении предыдущих действий поиска контента в связи с делом обнаружения электронных данных. Эта политика имеет параметр серьезности сведений . Дополнительные сведения о действиях поиска контента см. в разделе "Поиск действий обнаружения электронных данных " в журнале аудита.
  • Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Повышение привилегий Exchange администратора Создает оповещение, когда пользователю назначены административные разрешения в вашей Exchange Online организации. Например, при добавлении пользователя в группу ролей "Управление организацией" в Exchange Online. Эта политика имеет параметр низкой серьезности. Разрешения Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки Создает оповещение, когда любые сообщения, содержащие вредоносный файл, доставляются в почтовые ящики в вашей организации. Если это событие возникает, корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков с помощью автоматической очистки нулевого часа. Эта политика имеет параметр серьезности информационных данных и автоматически активирует автоматическое исследование и реагирование в Office 365. Дополнительные сведения об этой новой политике см. в разделе "Новые политики оповещений" Microsoft Defender для Office 365. Управление угрозами Да Подписка на надстройку E5/G5 или Microsoft Defender для Office 365 P2
    Сообщения электронной почты, содержащие вредоносный URL-адрес, удалены после доставки Создает оповещение, когда любые сообщения, содержащие вредоносный URL-адрес, доставляются в почтовые ящики в вашей организации. Если это событие возникает, корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков с помощью автоматической очистки нулевого часа. Эта политика имеет параметр серьезности информационных данных и автоматически активирует автоматическое исследование и реагирование в Office 365. Дополнительные сведения об этой новой политике см. в разделе "Новые политики оповещений" Microsoft Defender для Office 365. Управление угрозами Да Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Сообщения электронной почты из кампании, удаленные после доставки Создает оповещение, когда все сообщения, связанные с кампанией, доставляются в почтовые ящики в вашей организации. Если это событие возникает, корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков с помощью автоматической очистки нулевого часа. Эта политика имеет параметр серьезности информационных данных и автоматически активирует автоматическое исследование и реагирование в Office 365. Дополнительные сведения об этой новой политике см. в разделе "Новые политики оповещений" Microsoft Defender для Office 365. Управление угрозами Да Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Сообщения электронной почты удаляются после доставки Создает оповещение, когда любые вредоносные сообщения, которые не содержат вредоносных сущностей (URL-адрес или файл) или связанные с кампанией, доставляются в почтовые ящики вашей организации. Если это событие возникает, корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков с помощью автоматической очистки нулевого часа. Эта политика имеет параметр серьезности информационных данных и автоматически активирует автоматическое исследование и реагирование в Office 365. Дополнительные сведения об этой новой политике см. в разделе "Новые политики оповещений" Microsoft Defender для Office 365. Управление угрозами Да Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Сообщения, содержащие вредоносную сущность, не удаляются после доставки Создает оповещение, когда любое сообщение, содержащее вредоносное содержимое (файл, URL-адрес, кампания, без сущности), доставляется в почтовые ящики вашей организации. В этом случае корпорация Майкрософт попытается удалить зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки нулевого часа, но сообщение не было удалено из-за сбоя. Рекомендуется дополнительное исследование. Эта политика имеет параметр средней серьезности и автоматически активирует автоматическое исследование и реагирование в Office 365. Управление угрозами Да Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг Создает оповещение, когда пользователи в организации высвеют сообщения как фишинговые сообщения электронной почты с помощью надстройки "Сообщение отчета". Эта политика имеет параметр низкой серьезности. Дополнительные сведения об этой надстройке см. в разделе "Использование надстройки "Сообщение отчета". Для Defender для Office 365 P2, E5, G5 это оповещение автоматически активирует автоматическое исследование и реагирование в Office 365. Управление угрозами Да E1/F1/G1, E3/F3/G3 или E5/G5
    Превышено ограничение на отправку электронной почты Создает оповещение, когда кто-то в вашей организации отправил больше почты, чем разрешено политикой исходящей нежелательной почты. Обычно это означает, что пользователь отправляет слишком много сообщений электронной почты или учетная запись может быть скомпрометирована. Эта политика имеет параметр средней серьезности. Если вы получаете оповещение, созданное этой политикой оповещений, рекомендуется проверить, скомпрометирована ли учетная запись пользователя. Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Форма заблокирована из-за возможной попытки фишинга Создает оповещение, если кто-то из сотрудников вашей организации не может предоставлять доступ к формам и собирать ответы с помощью Microsoft Forms из-за обнаружения повторяющихся попыток фишинга. Эта политика имеет параметр высокой серьезности . Управление угрозами Нет E1, E3/F3 или E5
    Форма помечена и подтверждена как фишинговая Создает оповещение, если форма, созданная в Microsoft Forms из вашей организации, была обнаружена как потенциальная фишинговая с помощью сообщения о нарушении и подтверждена корпорацией Майкрософт как фишинговая. Эта политика имеет параметр высокой серьезности. Управление угрозами Нет E1, E3/F3 или E5
    Сообщения были отложены Создает оповещение, когда корпорация Майкрософт не может доставлять сообщения электронной почты в локальную организацию или сервер-партнер с помощью соединителя. В этом случае сообщение ставится в очередь Office 365. Это оповещение активируется при наличии 2000 сообщений или более, которые находятся в очереди более часа. Эта политика имеет параметр высокой серьезности. Поток обработки почты Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Кампания вредоносных программ, обнаруженная после доставки Создает оповещение, когда в почтовые ящики вашей организации доставляется необычно большое количество сообщений, содержащих вредоносные программы. При возникновении этого события корпорация Майкрософт удаляет зараженные сообщения из Exchange Online почтовых ящиков. Эта политика имеет параметр высокой серьезности. Управление угрозами Нет Подписка на надстройку E5/G5 или Microsoft Defender для Office 365 P2
    Обнаружена и заблокирована кампания вредоносных программ Создает оповещение, когда кто-то пытается отправить пользователям в организации необычно большое количество сообщений электронной почты, содержащих вредоносные программы определенного типа. В этом случае зараженные сообщения блокируются корпорацией Майкрософт и не доставляются в почтовые ящики. Эта политика имеет параметр низкой серьезности. Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    В SharePoint и OneDrive Создает оповещение, когда в файлах, расположенных на сайтах SharePoint или OneDrive учетных записях в организации, обнаружено необычно большое количество вредоносных программ или вирусов. Эта политика имеет параметр высокой серьезности. Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Вредоносная программа не зажата, так как zaP отключена Создает оповещение, когда корпорация Майкрософт обнаруживает доставку сообщения о вредоносных программах в почтовый ящик, Zero-Hour автоматическая очистка фишинговых сообщений отключена. Эта политика имеет параметр серьезности "Информация". Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Фишинг доставлен, так как папка нежелательной почты пользователя отключена Создает оповещение, когда корпорация Майкрософт обнаруживает, что папка нежелательной почты пользователя отключена, что обеспечивает доставку сообщений с высокой достоверностью фишинга в почтовый ящик. Эта политика имеет параметр серьезности "Информация". Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Фишинг доставлен из-за переопределения трассировки событий Windows Создает оповещение, когда корпорация Майкрософт обнаруживает Exchange транспорта (ETR), разрешающее доставку сообщения с высокой достоверностью фишинга в почтовый ящик. Эта политика имеет параметр серьезности "Информация". Дополнительные сведения о правилах Exchange транспорта (правила потока обработки почты) см. в разделе "Правила потока почты" (правила транспорта) Exchange Online. Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Фишинг доставлен из-за политики разрешения IP-адресов Создает оповещение, когда корпорация Майкрософт обнаруживает политику разрешенных IP-адресов, которая разрешает доставку сообщения с высокой достоверностью фишинга в почтовый ящик. Эта политика имеет параметр серьезности "Информация". Дополнительные сведения о политике разрешения IP-адресов (фильтрация подключений) см. в разделе "Настройка политики фильтра подключений по умолчанию " Office 365. Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Фишинг не зажат, так как zap отключен Создает оповещение, когда корпорация Майкрософт обнаруживает доставку сообщения с высокой достоверностью фишинга в почтовый ящик, так как Zero-Hour автоматическая очистка для фишинговых сообщений отключена. Эта политика имеет параметр серьезности "Информация". Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Фишинг доставлен из-за переопределения клиента или пользователя 1 Создает оповещение, когда корпорация Майкрософт обнаруживает, что администратор или пользователь переопределяет разрешенную доставку фишинговых сообщений в почтовый ящик. Примеры переопределений включают правило потока почты или папки "Входящие", которое разрешает сообщения от определенного отправителя или домена, или политику защиты от нежелательной почты, которая разрешает сообщения от определенных отправителей или доменов. Эта политика имеет параметр высокой серьезности. Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Подозрительные действия по пересылке сообщений электронной почты Создает оповещение, если кто-то из сотрудников вашей организации автоматически перенастроит электронную почту в подозрительную внешнюю учетную запись. Это раннее предупреждение о поведении, которое может указывать на то, что учетная запись скомпрометирована, но недостаточно серьезной для ограничения пользователя. Эта политика имеет параметр высокой серьезности. Хотя это редко, оповещение, созданное этой политикой, может быть аномалией. Рекомендуется проверить, скомпрометирована ли учетная запись пользователя. Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Обнаружены подозрительные шаблоны отправки электронной почты Создает оповещение, когда кто-то в вашей организации отправил подозрительные сообщения электронной почты и может быть ограничен отправкой электронной почты. Это раннее предупреждение о поведении, которое может указывать на то, что учетная запись скомпрометирована, но недостаточно серьезной для ограничения пользователя. Эта политика имеет параметр средней серьезности. Хотя это редко, оповещение, созданное этой политикой, может быть аномалией. Однако рекомендуется проверить, скомпрометирована ли учетная запись пользователя. Управление угрозами Да E1/F1/G1, E3/F3/G3 или E5/G5
    Срок действия записи списка разрешений и блокирования клиента истекает Создает оповещение, когда запись списка разрешений и блокирования клиента будет удалена. Это событие активируется за три дня до даты окончания срока действия, которая зависит от времени создания или последнего обновления записи. Эта политика оповещений имеет параметр серьезности сведений. Это необходимо для информирования администраторов о предстоящих изменениях в фильтрах, так как разрешение или блок могут быть отключены. Для блоков можно продлить срок действия, чтобы сохранить блок на месте. Для разрешения необходимо повторно отправить элемент, чтобы наши аналитики могли еще раз взглянуть на этот элемент. Однако если разрешение уже было оценок как ложное срабатывание, срок действия записи будет истекать только после обновления системных фильтров, чтобы разрешить запись естественным образом. Дополнительные сведения о событиях, которые активируют это оповещение, см. в разделе "Управление списком разрешений и блоков клиента". Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Клиент не может отправлять электронную почту Создает оповещение, если большая часть почтового трафика из вашей организации была обнаружена как подозрительный и корпорация Майкрософт не позволяет вашей организации отправлять электронную почту. Изучите все потенциально скомпрометированные учетные записи пользователей и администраторов, новые соединители или открытые ретрансляторы, а затем свяжитесь с служба поддержки Майкрософт, чтобы разблокировать организацию. Эта политика имеет параметр высокой серьезности. Дополнительные сведения о том, почему организации заблокированы, см. в статье "Устранение проблем с доставкой электронной почты для кода ошибки 5.7.7xx в Exchange Online". Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Клиенту запрещено отправлять неподготовляемые сообщения электронной почты Создает оповещение, когда из незарегистрированных доменов отправляется слишком много сообщений электронной почты (также называемых неподготовированными доменами). В Office 365 допускается разумное количество сообщений электронной почты из незарегистрированных доменов, но все домены, используемые для отправки электронной почты, следует настроить как обслуживаемые домены. Это оповещение означает, что все пользователи в организации больше не могут отправлять электронную почту. Эта политика имеет параметр высокой серьезности. Дополнительные сведения о том, почему организации заблокированы, см. в статье "Устранение проблем с доставкой электронной почты для кода ошибки 5.7.7xx в Exchange Online". Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Необычные действия с файлами внешних пользователей Создает оповещение при выполнении необычно большого количества действий с файлами в SharePoint или OneDrive пользователями за пределами вашей организации. К ним относятся такие действия, как доступ к файлам, скачивание файлов и удаление файлов. Эта политика имеет параметр высокой серьезности. Управление жизненным циклом данных Нет Подписка на надстройку E5/G5, Microsoft Defender для Office 365 P2 или Microsoft 365 E5 надстройки.
    Необычный объем общего доступа к внешним файлам Создает оповещение, когда пользователям за пределами организации SharePoint или OneDrive большое количество файлов. Эта политика имеет параметр средней серьезности. Управление жизненным циклом данных Нет Подписка на надстройку E5/G5, Defender для Office 365 P2 или Microsoft 365 E5 надстройки.
    Необычный объем удаления файлов Создает оповещение, когда в течение короткого интервала времени в SharePoint или OneDrive удаляется необычно большое количество файлов. Эта политика имеет параметр средней серьезности. Управление жизненным циклом данных Нет Подписка на надстройку E5/G5, Defender для Office 365 P2 или Microsoft 365 E5 надстройки.
    Необычное увеличение количества сообщений электронной почты, указанных как фишинг Создает оповещение при значительном увеличении числа пользователей в организации, использующих надстройку "Сообщение отчета" в Outlook сообщений как фишинговых сообщений. Эта политика имеет параметр средней серьезности. Дополнительные сведения об этой надстройке см. в разделе "Использование надстройки "Сообщение отчета". Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Фишинг олицетворения пользователя доставлен в папку " Входящие" или папку 1,2 Создает оповещение, когда корпорация Майкрософт обнаруживает, что переопределение администратора или пользователя разрешает доставку фишинговых сообщений олицетворения пользователя в папку "Входящие" (или другую папку, доступную для пользователей) почтового ящика. Примеры переопределений включают правило потока почты или папки "Входящие", которое разрешает сообщения от определенного отправителя или домена, или политику защиты от нежелательной почты, которая разрешает сообщения от определенных отправителей или доменов. Эта политика имеет параметр средней серьезности. Управление угрозами Нет Подписка на надстройку E5/G5 или Defender для Office 365 P2
    Пользователь запросит освобождение сообщения в карантине Создает оповещение, когда пользователь запрашивает выпуск сообщения в карантине. Чтобы запросить выпуск сообщений, помещенных в карантин, необходимо разрешить получателям запрашивать освобождение сообщения из разрешения карантина (PermissionToRequestRelease) в политике карантина (например, из группы разрешений предустановки ограниченного доступа). Дополнительные сведения см . в разделе "Разрешить получателям запрашивать сообщение для освобождения из разрешения на карантин". Эта политика имеет параметр серьезности "Информация". Управление угрозами Нет E1/F1/G1, E3/F3/G3 или E5/G5
    Пользователю запрещено отправлять сообщения электронной почты Создает оповещение, если кто-то в вашей организации не может отправлять исходящие сообщения. Обычно это происходит при компрометации учетной записи, когда пользователь отображается на странице "Пользователи с ограниченным доступом" на портале соответствия требованиям. (Чтобы получить доступ к этой странице, перейдите в раздел "Управление угрозами" > "Проверка > пользователей с ограниченным доступом"). Эта политика имеет параметр высокой серьезности. Дополнительные сведения об ограниченных пользователях см. в статье "Удаление пользователя, домена или IP-адреса из списка блокирования после отправки нежелательной почты". Управление угрозами Да E1/F1/G1, E3/F3/G3 или E5/G5
    Пользователю запрещено делиться формами и собирать ответы Создает оповещение, если кто-то из сотрудников вашей организации не может предоставлять доступ к формам и собирать ответы с помощью Microsoft Forms из-за обнаружения повторяющихся попыток фишинга. Эта политика имеет параметр высокой серьезности. Управление угрозами Нет E1, E3/F3 или E5

    Примечание

    1 Мы временно удалили эту политику оповещений по умолчанию на основе отзывов клиентов. Мы работаем над его улучшением и в ближайшем будущем заменим его новой версией. До этого момента можно создать настраиваемую политику оповещений, чтобы заменить эту функцию с помощью следующих параметров:

    • Действие — это фишинговое сообщение электронной почты, обнаруженное во время доставки
    • Mail is not ZAP'd
    • Направление почты — "Входящий"
    • Состояние доставки почты — "Доставлено"
    • Технология обнаружения: хранение вредоносных URL-адресов, отключение URL-адресов, расширенный фильтр фишинга, фильтр общего фишинга, олицетворение домена, олицетворение пользователя и олицетворение торговой марки
    Дополнительные сведения о защите от фишинга в Office 365 см. в разделе "Настройка политик защиты от фишинга и фишинга".

    2. Чтобы повторно создать эту политику оповещений, следуйте указаниям из предыдущей сноски, но выберите олицетворение пользователя в качестве единой технологии обнаружения.

    Необычные действия, отслеживаемые некоторыми встроенными политиками, основаны на том же процессе, что и параметр порога оповещения, который был описан ранее. Корпорация Майкрософт устанавливает базовое значение, определяющее обычную частоту для "обычного" действия. Затем оповещения активируются, когда частота действий, отслеживаемых встроенной политикой генерации оповещений, значительно превышает базовое значение.

    Просмотр оповещений

    Когда действия, выполняемые пользователями в организации, соответствуют параметрам политики оповещений, создается оповещение и отображается на странице оповещений на портале Microsoft Purview или портале Defender. В зависимости от параметров политики генерации оповещений уведомление по электронной почте также отправляется списку указанных пользователей при активации оповещения. Для каждого оповещения на панели мониторинга на странице оповещений отображается имя соответствующей политики оповещений, уровень серьезности и категория оповещения (определенный в политике оповещений) и количество раз, когда произошло действие, которое привело к генерации оповещения. Это значение основано на пороговом значении политики генерации оповещений. На панели мониторинга также отображается состояние каждого оповещения. Дополнительные сведения об использовании свойства состояния для управления оповещениями см. в разделе "Управление оповещениями".

    Для просмотра оповещений:

    Портал соответствия требованиям Microsoft Purview

    Перейдите к https://compliance.microsoft.com разделу "Оповещения", а затем выберите "Оповещения". Кроме того, можно перейти непосредственно по адресу https://compliance.microsoft.com/compliancealerts.

    На портале соответствия требованиям выберите "Оповещения".

    Портал Microsoft 365 Defender

    Перейдите на Microsoft 365 Defender портала, а затем выберите "& оповещения > ". Кроме того, можно перейти непосредственно по адресу https://security.microsoft.com/alerts.

    На портале Microsoft 365 Defender выберите "Инциденты& оповещения, а затем — "Оповещения".

    Следующие фильтры можно использовать для просмотра подмножества всех оповещений на странице "Оповещения ".

    • Статус. Этот фильтр используется для отображения оповещений, для которых назначено определенное состояние. Состояние по умолчанию — "Активно". Вы или другие администраторы можете изменить значение состояния.

    • Политики. Этот фильтр используется для отображения оповещений, соответствующих настройке одной или нескольких политик оповещений. Вы также можете отобразить все оповещения для всех политик оповещений.

    • Диапазон времени. Этот фильтр используется для отображения оповещений, созданных в определенном диапазоне даты и времени.

    • Тяжести. Этот фильтр используется для отображения оповещений, для которых назначена определенная серьезность.

    • Категории. Используйте этот фильтр для отображения оповещений из одной или нескольких категорий оповещений.

    • Теги. Этот фильтр используется для отображения оповещений из одного или нескольких тегов пользователей. Теги отражаются на основе почтовых ящиков с тегами или пользователей, которые отображаются в оповещениях. Дополнительные сведения см. в Office 356 ATP.

    • Источник. Используйте этот фильтр для отображения оповещений, активированных политиками генерации оповещений на портале Microsoft Purview, или оповещений, активированных Microsoft Defender for Cloud Apps политиками, или и то, и другое. Дополнительные сведения об оповещениях Defender для облака App Security см. в Defender для облака приложениях.

    Важно!

    Фильтрация и сортировка по тегам пользователей в настоящее время доступна в общедоступной предварительной версии. Перед коммерческим выпуском он может быть существенно изменен. Корпорация Майкрософт не предоставляет никаких гарантий( явных или подразумеваемых) в отношении предоставленной информации.

    Агрегирование оповещений

    Если несколько событий, соответствующих условиям политики генерации оповещений, происходят в течение короткого периода времени, они добавляются в существующее оповещение процессом, который называется агрегированием оповещений. Когда событие активирует оповещение, оповещение создается и отображается на странице оповещений и отправляется уведомление. Если то же событие происходит в пределах интервала агрегирования, Microsoft 365 добавляет сведения о новом событии в существующее оповещение, а не активирует новое оповещение. Цель агрегирования оповещений — уменьшить "утомление" оповещений, а также сосредоточиться на меньшем предупреждении для одного и того же события.

    Длина интервала агрегирования зависит от вашей Office 365 или Microsoft 365 подписки.

    Подписка Интервал агрегирования
    Office 365 или Microsoft 365 E5/G5 1 минута
    Defender для Office 365 (план 2) 1 минута
    Надстройка соответствия требованиям E5 или надстройка обнаружения и аудита E5 1 минута
    Office 365 или Microsoft 365 E1/F1/G1 или E3/F3/G3 15 минут
    Defender для Office 365 плана 1 или Exchange Online Protection 15 минут

    Если события, соответствующие одной и той же политике генерации оповещений, происходят в течение интервала агрегирования, сведения о последующем событии добавляются в исходное оповещение. Для всех событий сведения о агрегированных событиях отображаются в поле сведений, а количество событий, произошедших с интервалом агрегирования, отображается в поле "Количество действий/попаданий". Вы можете просмотреть дополнительные сведения обо всех экземплярах агрегированных событий, просмотрев список действий.

    На следующем снимке экрана показано оповещение с четырьмя агрегированные событиями. Список действий содержит сведения о четырех сообщениях электронной почты, относящихся к оповещению.

    Пример агрегирования оповещений.

    Учитывайте следующие моменты агрегирования оповещений:

    • Оповещение, активированное щелчком по потенциально вредоносному URL-адресу, обнаружено, что политика оповещений по умолчанию не агрегирована. Это связано с тем, что оповещения, активированные этой политикой, уникальны для каждого пользователя и сообщения электронной почты.

    • В настоящее время свойство оповещения счетчика попаданий не указывает количество агрегированных событий для всех политик генерации оповещений. Для оповещений, активированных этими политиками оповещений, можно просмотреть агрегированные события, щелкнув "Просмотреть список сообщений" или "Просмотреть действие" в оповещении. Мы работаем над тем, чтобы количество агрегированных событий, перечисленных в свойстве оповещения " Число попаданий", было доступно для всех политик генерации оповещений.

    Разрешения RBAC, необходимые для просмотра оповещений

    Разрешения на основе ролей контроль доступа (RBAC), назначенные пользователям в организации, определяют, какие оповещения пользователь может видеть на странице "Оповещения". Как это сделать? Роли управления, назначенные пользователям (в зависимости от их членства в группах ролей на портале соответствия требованиям или портале Microsoft 365 Defender), определяют, какие категории оповещений пользователь может просмотреть на странице "Оповещения". Ниже приводятся примеры:

    • Члены группы ролей "Управление записями" могут просматривать только оповещения, созданные политиками генерации оповещений, назначенными категории управления жизненным циклом данных.

    • Члены группы ролей администратора соответствия требованиям не могут просматривать оповещения, созданные политиками оповещений, назначенными категории управления угрозами.

    • Люди с ролями из группы "Менеджер по обнаружению электронных данных" вообще не могут просматривать оповещения.

    Эта структура (на основе разрешений RBAC) позволяет определить, какие оповещения могут просматривать (и управляться) пользователями в определенных ролях заданий в организации.

    В следующей таблице перечислены роли, необходимые для просмотра оповещений из шести разных категорий оповещений. В первом столбце таблиц перечислены все роли на портале соответствия требованиям или Microsoft 365 Defender портале. Флажок указывает, что пользователь, которому назначена эта роль, может просматривать оповещения из соответствующей категории оповещений, указанной в верхней строке.

    Чтобы узнать, какой категории назначена политика оповещений по умолчанию, см. таблицу в политиках оповещений по умолчанию.

    Роль Управление жизненным циклом данных Защита от потери данных Поток обработки почты Permissions Управление угрозами Другие
    Журналы аудита
    Управление регистрами
    Администратор соответствия требованиям Флажок. Флажок. Флажок. Флажок.
    Поиск соответствия
    Управление устройствами
    Управление ликвидацией
    Управление соответствием требованиям DLP Флажок.
    Экспорт
    Hold
    Аналитик Information Protection Флажок.
    Исследователь Information Protection Флажок.
    Управление оповещениями Флажок.
    Конфигурация организации Флажок.
    Предварительная версия
    Управление записями Флажок.
    Управление хранением Флажок.
    Проверка
    Расшифровка RMS
    Управление ролами Флажок.
    Поиск и очистка
    Администратор безопасности Флажок. Флажок. Флажок. Флажок.
    Читатель сведений о безопасности Флажок. Флажок. Флажок. Флажок.
    Представление Service Assurance
    Администратор проверки надзора
    Журналы аудита только для просмотра
    View-Only Управление устройствами
    View-Only защиты от потери данных Флажок.
    View-Only управления оповещениями Галочка
    Получатели только для чтения Галочка
    View-Only управления записями Галочка
    View-Only хранения Галочка

    Совет

    Чтобы просмотреть роли, назначенные каждой из групп ролей по умолчанию, выполните следующие команды в PowerShell для обеспечения соответствия & безопасности:

    $RoleGroups = Get-RoleGroup
    
    $RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
    

    Роли, назначенные группе ролей, также можно просмотреть на портале соответствия требованиям или Microsoft 365 Defender портале. Перейдите на страницу " Разрешения" и выберите группу ролей. Назначенные роли перечислены на всплывающей странице.

    Управление оповещениями

    После создания и отображения оповещений на странице оповещений на портале Microsoft Purview их можно рассматривать, исследовать и разрешать. Те же разрешения RBAC , которые предоставляют пользователям доступ к оповещениям, также предоставляют им возможность управлять оповещениями.

    Ниже приведены некоторые задачи, которые можно выполнить для управления оповещениями.

    • Назначьте состояние оповещениям. Оповещениям можно назначить одно из следующих состояний: " Активно" (значение по умолчанию), " Исследование", " Разрешено" или "Отклонено". Затем можно отфильтровать этот параметр, чтобы отобразить оповещения с тем же параметром состояния. Этот параметр состояния может помочь отслеживать процесс управления оповещениями.

    • Просмотр сведений об оповещении. Вы можете выбрать оповещение, чтобы отобразить всплывающую страницу с подробными сведениями об оповещении. Подробные сведения зависят от соответствующей политики оповещений, но обычно включают в себя следующее:

      • Имя фактической операции, которая активирует оповещение, например командлет или операция журнала аудита.

      • Описание действия, которое активирует оповещение.

      • Пользователь (или список пользователей), который инициирует оповещение. Это относится только к политикам оповещений, которые настроены для отслеживания одного пользователя или одного действия.

      • Количество выполнений действий, отслеживаемых оповещением. Это число может не совпадать с фактическим количеством связанных оповещений, перечисленных на странице "Оповещения", так как активируется больше оповещений.

      • Ссылка на список действий, содержащий элемент для каждого выполненного действия, которое активирует оповещение. Каждая запись в этом списке определяет время выполнения действия, имя фактической операции (например, FileDeleted), пользователя, выполнившего действие, объект (например, файл, дело обнаружения электронных данных или почтовый ящик), с которым было выполнено действие, и IP-адрес компьютера пользователя. Для оповещений, связанных с вредоносными программами, это ссылка на список сообщений.

      • Имя (и ссылка) соответствующей политики оповещений.

    • Подавлять уведомления по электронной почте. Вы можете отключить (или отключить) уведомления по электронной почте на всплывающей странице для оповещения. При подавлении уведомлений по электронной почте корпорация Майкрософт не будет отправлять уведомления при возникновении действий или событий, соответствующих условиям политики генерации оповещений. Но оповещения будут активироваться, когда действия, выполняемые пользователями, соответствуют условиям политики оповещений. Вы также можете отключить уведомления по электронной почте, отредактировать политику оповещений.

    • Разрешение оповещений. Вы можете пометить оповещение как разрешенное на всплывающей странице для оповещения (которое устанавливает состояние предупреждения как разрешенное). Если вы не измените фильтр, разрешенные оповещения не будут отображаться на странице "Оповещения ".

    Просмотр оповещений Defender для облака приложений

    Оповещения, активированные Defender для облака безопасности приложений, теперь отображаются на странице "Оповещения" на портале Microsoft Purview. К ним относятся оповещения, активированные политиками действий и оповещениями, которые активируются политиками обнаружения аномалий в Defender для облака Apps Security. Это означает, что вы можете просматривать все оповещения на портале Microsoft Purview. Defender для облака App Security доступна только для организаций, у Office 365 корпоративный E5 или Office 365 G5 для государственных организаций США. Дополнительные сведения см. в разделе "Обзор Defender для облака приложений".

    Организации, Microsoft Defender for Cloud Apps как часть подписки Enterprise Mobility + Security E5 или автономной службы, также могут просматривать оповещения Defender для облака Apps, связанные с Microsoft 365 приложения и службы на портале соответствия требованиям или Microsoft 365 Defender портале.

    Чтобы отобразить только оповещения Defender для облака Apps на портале Microsoft Purview или портале Defender, используйте фильтр "Источник" и выберите Defender для облака Apps.

    Используйте фильтр "Источник" для отображения только Defender для облака приложений.

    Аналогично оповещению, активируемом политикой оповещений на портале Microsoft Purview, можно выбрать оповещение Defender для облака Apps, чтобы отобразить всплывающую страницу с подробными сведениями об оповещении. Оповещение содержит ссылку для просмотра сведений и управления оповещением на портале Defender для облака Apps, а также ссылку на соответствующую политику приложений Defender для облака, которая активирует оповещение. См. статью "Мониторинг оповещений Defender для облака приложениях".

    Сведения об оповещении содержат ссылки на портал Defender для облака Apps.

    Важно!

    Изменение состояния оповещения Defender для облака Apps на портале Microsoft Purview не обновляет состояние разрешения для того же оповещения на портале Defender для облака Apps. Например, если вы пометите состояние оповещения как разрешенное на портале Microsoft Purview, состояние оповещения на портале Defender для облака Apps не изменяется. Чтобы устранить или закрыть оповещение Defender для облака Apps, управляйте оповещением на портале Defender для облака Apps.