Получение Уведомления по электронной почте для действий реагирования в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Вы можете настроить Microsoft Defender XDR для уведомления по электронной почте о действиях, выполняемых вручную или автоматически.
Действия реагирования вручную — это действия, которые группы безопасности могут использовать для остановки угроз или оказания помощи в расследовании атак. Эти действия зависят от рабочей нагрузки Defender, включенной в вашей среде.
С другой стороны, действия автоматического реагирования — это возможности Microsoft 35 Defender, которые автоматически масштабируют исследование и устраняют угрозы. Возможности автоматического исправления включают автоматическое прерывание атак , а также автоматическое исследование и реагирование.
Примечание.
Для настройки параметров уведомлений по электронной почте требуется разрешение Управление параметрами безопасности . Если вы решили использовать базовое управление разрешениями, пользователи с ролями администратора безопасности или глобального администратора могут настроить Уведомления по электронной почте. Аналогичным образом, если ваша организация использует управление доступом на основе ролей (RBAC), вы можете создавать, изменять, удалять и получать уведомления только на основе групп устройств, которыми вы можете управлять.
Create правило для Уведомления по электронной почте
Примечание.
Уведомление по электронной почте о действии ответа в настоящее время не поддерживает пользовательские обнаружения, содержащие действия ответа.
Чтобы создать правило для Уведомления по электронной почте, выполните следующие действия.
- В области навигации Microsoft Defender XDR выберите Параметры > Microsoft Defender XDR. В разделе Общие выберите Email уведомления. Перейдите на вкладку Действия.
- Выберите Добавить правило уведомлений. Добавьте имя правила и описание в разделе Основные сведения. Поля Имя и Описание принимают только буквы, цифры и пробелы.
- Перейдите к следующему разделу, выбрав Далее в нижней части панели.
- Вы можете выбрать тип действия, состояние и источник источника действия в разделе Параметры уведомлений .
- В разделе Источник действия выберите, хотите ли вы получать уведомления о действиях, выполняемых вручную или автоматически. Вы можете выбрать оба варианта.
- Выберите конкретные действия ответа в контрольном списке, который отображается в разделе Действие. Вы можете выбрать несколько действий, доступных в контрольном списке. Обратите внимание, что действия реагирования зависят от рабочей нагрузки Defender, включенной в вашей среде. Все выбранные действия отображаются в поле Действие после завершения.
- Вы можете получать уведомления на основе групп устройств, в которых применяются действия ответа, в область группы устройств. Чтобы получать уведомления о действиях реагирования, выполняемых во всех текущих и будущих группах устройств, выберите Все группы устройств . Чтобы получать уведомления об ответных действиях, выполняемых на устройствах, принадлежащих выбранной группе устройств, выберите Выбранные группы устройств.
- Выберите, хотите ли вы получать уведомления о завершении или сбое действия в поле Состояние действия . Вы можете выбрать все доступные параметры.
- В нижней части панели можно перейти к следующему разделу, нажав кнопку Далее. Кроме того, можно вернуться к разделу Основные сведения, выбрав Назад.
- В разделе Получатели можно добавить один или несколько адресов электронной почты, которые будут получать уведомления. Разделите несколько адресов, добавив запятую в конец каждого адреса. Нажмите кнопку Добавить , чтобы добавить получателей. Получатели отображаются в нижней части области после успешного добавления адресов.
- Протестируйте уведомление, выбрав Отправить тестовое сообщение электронной почты. Нажмите кнопку Далее в нижней части области, чтобы перейти к разделу проверки.
- Проверьте сведения о правиле в разделе Проверка правила . Вы можете изменить сведения, выбрав Изменить под сведениями каждого раздела.
- Нажмите кнопку Отправить в нижней части панели, чтобы завершить создание правила. Получатели начнут получать уведомления по электронной почте в зависимости от параметров. Новое правило появится в списке Правила уведомлений на вкладке Действия.
- Чтобы изменить или удалить правило уведомлений, выберите правило из списка. Выберите Изменить , чтобы изменить сведения о правиле. Выберите Удалить , чтобы удалить правило.
Получив уведомление, вы можете перейти непосредственно к действию и просмотреть или исправить действие.
Дальнейшие действия
- Получение Уведомления по электронной почте об инцидентах
- Получение Уведомления по электронной почте о новых отчетах в аналитике угроз
См. также
- Настройка возможностей автоматического прерывания атак
- Настройка автоматического исследования и реагирования
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по