Получение Уведомления по электронной почте для действий реагирования в Microsoft Defender XDR

  • Статья

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Вы можете настроить Microsoft Defender XDR для уведомления по электронной почте о действиях, выполняемых вручную или автоматически.

Действия реагирования вручную — это действия, которые группы безопасности могут использовать для остановки угроз или оказания помощи в расследовании атак. Эти действия зависят от рабочей нагрузки Defender, включенной в вашей среде.

С другой стороны, действия автоматического реагирования — это возможности Microsoft 35 Defender, которые автоматически масштабируют исследование и устраняют угрозы. Возможности автоматического исправления включают автоматическое прерывание атак , а также автоматическое исследование и реагирование.

Примечание.

Для настройки параметров уведомлений по электронной почте требуется разрешение Управление параметрами безопасности . Если вы решили использовать базовое управление разрешениями, пользователи с ролями администратора безопасности или глобального администратора могут настроить Уведомления по электронной почте. Аналогичным образом, если ваша организация использует управление доступом на основе ролей (RBAC), вы можете создавать, изменять, удалять и получать уведомления только на основе групп устройств, которыми вы можете управлять.

Create правило для Уведомления по электронной почте

Примечание.

Уведомление по электронной почте о действии ответа в настоящее время не поддерживает пользовательские обнаружения, содержащие действия ответа.

Чтобы создать правило для Уведомления по электронной почте, выполните следующие действия.

  1. В области навигации Microsoft Defender XDR выберите Параметры > Microsoft Defender XDR. В разделе Общие выберите Email уведомления. Перейдите на вкладку Действия. Вкладка
  2. Выберите Добавить правило уведомлений. Добавьте имя правила и описание в разделе Основные сведения. Поля Имя и Описание принимают только буквы, цифры и пробелы. Раздел
  3. Перейдите к следующему разделу, выбрав Далее в нижней части панели.
  4. Вы можете выбрать тип действия, состояние и источник источника действия в разделе Параметры уведомлений . Раздел параметров уведомлений правила добавления уведомлений
  5. В разделе Источник действия выберите, хотите ли вы получать уведомления о действиях, выполняемых вручную или автоматически. Вы можете выбрать оба варианта.
  6. Выберите конкретные действия ответа в контрольном списке, который отображается в разделе Действие. Вы можете выбрать несколько действий, доступных в контрольном списке. Обратите внимание, что действия реагирования зависят от рабочей нагрузки Defender, включенной в вашей среде. Все выбранные действия отображаются в поле Действие после завершения. Выделение поля
  7. Вы можете получать уведомления на основе групп устройств, в которых применяются действия ответа, в область группы устройств. Чтобы получать уведомления о действиях реагирования, выполняемых во всех текущих и будущих группах устройств, выберите Все группы устройств . Чтобы получать уведомления об ответных действиях, выполняемых на устройствах, принадлежащих выбранной группе устройств, выберите Выбранные группы устройств. Выделение область групп устройств в разделе Параметры уведомлений правила добавления уведомлений
  8. Выберите, хотите ли вы получать уведомления о завершении или сбое действия в поле Состояние действия . Вы можете выбрать все доступные параметры.
  9. В нижней части панели можно перейти к следующему разделу, нажав кнопку Далее. Кроме того, можно вернуться к разделу Основные сведения, выбрав Назад.
  10. В разделе Получатели можно добавить один или несколько адресов электронной почты, которые будут получать уведомления. Разделите несколько адресов, добавив запятую в конец каждого адреса. Нажмите кнопку Добавить , чтобы добавить получателей. Получатели отображаются в нижней части области после успешного добавления адресов. Добавление нескольких адресов в раздел Получатели правила добавления уведомлений
  11. Протестируйте уведомление, выбрав Отправить тестовое сообщение электронной почты. Нажмите кнопку Далее в нижней части области, чтобы перейти к разделу проверки.
  12. Проверьте сведения о правиле в разделе Проверка правила . Вы можете изменить сведения, выбрав Изменить под сведениями каждого раздела. Выделение параметра
  13. Нажмите кнопку Отправить в нижней части панели, чтобы завершить создание правила. Получатели начнут получать уведомления по электронной почте в зависимости от параметров. Новое правило появится в списке Правила уведомлений на вкладке Действия.
  14. Чтобы изменить или удалить правило уведомлений, выберите правило из списка. Выберите Изменить , чтобы изменить сведения о правиле. Выберите Удалить , чтобы удалить правило. Выделение параметров

Получив уведомление, вы можете перейти непосредственно к действию и просмотреть или исправить действие.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.