Политики оповещений в центре безопасности и соответствияAlert policies in the security and compliance center

Вы можете использовать средства мониторинга оповещений и оповещений в центрах безопасности и соответствия требованиям Microsoft 365 для создания политик оповещения, а затем просмотра оповещений, созданных при выполнении пользователями действий, которые соответствуют условиям политики оповещения.You can use the alert policy and alert dashboard tools in the Microsoft 365 security and compliance centers to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Существует несколько политик оповещений по умолчанию, которые помогают отслеживать такие действия, как назначение привилегий администратора в Exchange Online, атаки вредоносных программ, фишинговые кампании и необычные уровни удаления файлов и внешнего общего доступа.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

Политики оповещения позволяет классифицировать оповещения, запускаемые политикой, применять политику для всех пользователей в организации, устанавливать пороговый уровень для запуска оповещения и принимать решение о том, следует ли получать уведомления электронной почты при запуске оповещений.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. В центре безопасности и соответствия требованиям также есть страница оповещений View, на которой можно просматривать и фильтровать оповещения, устанавливать состояние оповещений, чтобы управлять оповещениями, а затем отклонять оповещения после того, как вы устранил или устранил этот инцидент.There's also a View alerts page in the security and compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Примечание

Политики оповещения доступны для организаций с подпиской microsoft 365 Enterprise, Office 365 Enterprise или Office 365 для правительства США E1/F1/G1, E3/F3/G3 или подписки на E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. Расширенные функции доступны только для организаций с подпиской на E5/G5 или для организаций, имеющих подписку на E1/F1/G1 или E3/F3/G3, а также Microsoft Defender для Office 365 P2 или microsoft 365 E5 Compliance или подписку на надстройки eDiscovery и Audit E5.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. Функциональность, требуемая подписки на E5/G5 или надстройки, выделена в этом разделе.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Также обратите внимание, что политики оповещения доступны в средах GCC Office 365, GCC High и DoD US government environments.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Работа политик оповещенийHow alert policies work

Ниже представлен краткий обзор работы политик оповещения и триггеров оповещений, когда действия пользователя или администратора совпадают с условиями политики оповещения.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Обзор работы политик оповещения

  1. Администратор в организации создает, настраивает и включает политику оповещения с помощью страницы политики оповещения в центре безопасности и соответствия требованиям.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the security and compliance center. Вы также можете создавать политики оповещения с помощью cmdlet New-ProtectionAlert в центре безопасности & PowerShell.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    Чтобы создать политики оповещения, необходимо навести роль Управление оповещениями или роль конфигурации организации в центре безопасности и соответствия требованиям.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the security and compliance center.

    Примечание

    Это занимает до 24 часов после создания или обновления политики оповещения, прежде чем оповещения могут быть вызваны политикой.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Это потому, что политика должна быть синхронизирована с механизмом обнаружения оповещений.This is because the policy has to be synced to the alert detection engine.

  2. Пользователь выполняет действия, которые совпадают с условиями политики оповещения.A user performs an activity that matches the conditions of an alert policy. В случае атак вредоносных программ зараженные сообщения электронной почты, отправленные пользователям в организации, вызывают оповещение.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 создает оповещение, отображаемого на странице Оповещений View в Центре & соответствия требованиям. Microsoft 365 generates an alert that's displayed on the View alerts page in the Security & Compliance Center. Кроме того, если для политики оповещения включены уведомления электронной почты, Корпорация Майкрософт отправляет уведомление в список получателей.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Оповещения, которые администратор или другие пользователи могут видеть на странице Оповещений View, определяются ролями, назначенными пользователю.The alerts that an admin or other users can see that on the View alerts page is determined by the roles assigned to the user. Дополнительные сведения см. в сведениях о разрешениях RBAC, необходимых для просмотра оповещений.For more information, see RBAC permissions required to view alerts.

  4. Администратор управляет оповещениями в центре безопасности и соответствия требованиям.An admin manages alerts in the security and compliance center. Управление оповещениями состоит из назначения состояния оповещений для отслеживания и управления любыми расследованиями.Managing alerts consists of assigning an alert status to help track and manage any investigation.

Параметры политики оповещенияAlert policy settings

Политика оповещения состоит из набора правил и условий, определявших действия пользователя или администратора, которые генерируют оповещение, список пользователей, которые запускают оповещение при выполнении действия, и пороговое значение, которое определяет, сколько раз необходимо выполнить действие до запуска оповещения.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. Вы также классифицировать политику и назначить ее уровень серьезности.You also categorize the policy and assign it a severity level. Эти два параметра помогают управлять политиками оповещения (и оповещениями, которые запускаются при совпадении условий политики), так как эти параметры можно фильтровать при управлении политиками и просмотре оповещений в центре безопасности и соответствия требованиям.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the security and compliance center. Например, можно просмотреть оповещения, которые соответствуют условиям из одной категории, или просмотреть оповещений с одинаковым уровнем серьезности.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Чтобы просмотреть и создать политики оповещения, перейдите к политикам оповещения и https://protection.office.com выберите > их.To view and create alert policies, go to https://protection.office.com and then select Alerts > Alert policies.

В центре безопасности и соответствия требованиям выберите оповещений, а затем выберите политики оповещения для просмотра и создания политик оповещения

Политика оповещения состоит из следующих параметров и условий.An alert policy consists of the following settings and conditions.

  • Действие, отслеживаемого оповещением, — создается политика для отслеживания действий или в некоторых случаях нескольких связанных действий, таких как совместное использование файла с внешним пользователем путем обмена им, назначения разрешений на доступ или создания анонимной ссылки.Activity the alert is tracking - You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. Когда пользователь выполняет действия, определенные политикой, оповещение запускается в зависимости от параметров порогового значения оповещений.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Примечание

    Действия, которые можно отслеживать, зависят от плана правительства США Office 365 Enterprise или Office 365.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. Как правило, для действий, связанных с вредоносными кампаниями и фишинговыми атаками, требуется подписка на E5/G5 или подписка на E1/F1/G1 или E3/F3/G3 с надстройки Defender для Office 365 Plan 2.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Условия действий . Для большинства действий можно определить дополнительные условия, которые необходимо использовать для запуска оповещения.Activity conditions - For most activities, you can define additional conditions that must be met to trigger an alert. К распространенным условиям относятся IP-адреса (чтобы срабатывает оповещение, когда пользователь выполняет действия на компьютере с определенным IP-адресом или в диапазоне IP-адресов), запускается ли оповещение, если определенный пользователь или пользователи выполняют эту деятельность, и выполняется ли действие на определенном имени файла или URL-адресе.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. Можно также настроить условие, которое вызывает оповещение при выполнении действия любым пользователем в организации.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. Доступные условия зависят от выбранной активности.The available conditions are dependent on the selected activity.

  • При срабатывке оповещений можно настроить параметр, который определяет, как часто может происходить действие перед срабатывом оповещения.When the alert is triggered - You can configure a setting that defines how often an activity can occur before an alert is triggered. Это позволяет настроить политику для создания оповещений каждый раз, когда действия совпадают с условиями политики, при превышении определенного порогового значения или при возникновении отслеживаемого оповещения действия становится необычным для вашей организации.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Настройка запуска оповещений в зависимости от того, когда происходит действие, пороговое значение или необычное действие для вашей организации.

    Если выбрать параметр на основе необычных действий, корпорация Майкрософт устанавливает базовое значение, которое определяет нормальную частоту выбранного действия.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Создание этого базового плана занимает до семи дней, в течение которого оповещения не будут создаваться.It takes up to seven days to establish this baseline, during which alerts won't be generated. После того как базовый уровень установлен, срабатывает оповещение, когда частота активности, отслеживаемой политикой оповещения, значительно превышает базовое значение.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. Для действий, связанных с аудитом (например, действий файлов и папок), можно установить базовый уровень на основе одного пользователя или на основе всех пользователей в вашей организации; для действий, связанных с вредоносными программами, можно установить базовый уровень на основе одной семьи вредоносных программ, одного получателя или всех сообщений в вашей организации.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Примечание

    Для настройки политик оповещений на основе порогового значения или на основе необычных действий требуется подписка на E5/G5 или подписка на E1/F1/G1 или E3/F3/G3 с подпиской Microsoft Defender для Office 365 P2, Microsoft 365 E5 compliance или Microsoft 365 eDiscovery and Audit add-on subscription.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. Организации, подписав подписку на E1/F1/G1 и E3/F3/G3, могут создавать политики оповещений только при каждом запуске оповещения при каждом действии.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Категория оповещений . Чтобы помочь в отслеживании и управлении оповещениями, созданными политикой, можно назначить политику одну из следующих категорий.Alert category - To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • Защита от потери данныхData loss prevention

    • Управление информациейInformation governance

    • Поток обработки почтыMail flow

    • РазрешенияPermissions

    • Управление угрозамиThreat management

    • ДругиеOthers

    Когда происходит действие, которое соответствует условиям политики оповещения, генерируемая оповещение помечено категорией, определенной в этом параметре.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. Это позволяет отслеживать и управлять оповещениями, которые имеют один и тот же параметр категории на странице Оповещений View в центре безопасности и соответствия требованиям, так как можно сортировать и фильтровать оповещения в зависимости от категории.This allows you to track and manage alerts that have the same category setting on the View alerts page in the security and compliance center because you can sort and filter alerts based on category.

  • Серьезность оповещений . Как и в категории оповещения, для политик оповещения назначается атрибут серьезности (Низкий, Средний, Высокий или Информационный).Alert severity - Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. Как и категория оповещений, когда происходит действие, которое соответствует условиям политики оповещения, сгенерированная оповещение помечено с тем же уровнем серьезности, что и для политики оповещения.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. Опять же, это позволяет отслеживать и управлять оповещениями, которые имеют тот же параметр серьезности на странице Оповещений Просмотра.Again, this allows you to track and manage alerts that have the same severity setting on the View alerts page. Например, можно отфильтровать список оповещений, чтобы отображаться только оповещения с высокой степенью серьезности.For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Совет

    При настройке политики оповещения следует назначить более высокую степень серьезности действиям, которые могут привести к серьезным негативным последствиям, таким как обнаружение вредоносных программ после доставки пользователям, просмотр конфиденциальных или секретных данных, обмен данными с внешними пользователями или другие действия, которые могут привести к потере данных или угрозам безопасности.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Это поможет вам расставить приоритеты оповещений и действий, которые вы принимаете для расследования и устранения основных причин.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • Уведомления электронной почты . Вы можете настроить политику таким образом, чтобы уведомления электронной почты были отправлены (или не отправлены) в список пользователей при запуске оповещения.Email notifications - You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. Кроме того, можно установить ограничение на ежедневное уведомление, чтобы после получения максимального количества уведомлений больше не было отправлено уведомлений для оповещения в течение этого дня.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Помимо уведомлений электронной почты, вы или другие администраторы можете просматривать оповещения, запускаемые политикой на странице Оповещений View.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the View alerts page. Рассмотрите возможность включения уведомлений электронной почты для политик оповещения определенной категории или с более высокой степенью серьезности.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

Политики оповещения по умолчаниюDefault alert policies

Корпорация Майкрософт предоставляет встроенные политики оповещения, которые помогают выявлять злоупотребления разрешениями администратора Exchange, активность вредоносных программ, потенциальные внешние и внутренние угрозы, а также риски управления информацией.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. На странице Политики оповещения имена этих встроенных политик имеют жирный шрифт, а тип политики определяется как System.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. Эти политики включены по умолчанию.These policies are turned on by default. Эти политики можно отключить (или снова включить), настроить список получателей для отправки уведомлений электронной почты и установить ограничение на ежедневное уведомление.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. Другие параметры этих политик не могут быть изменены.The other settings for these policies can't be edited.

В следующей таблице перечислены доступные политики оповещений по умолчанию и присвоена категория каждой политики.The following table lists and describes the available default alert policies and the category each policy is assigned to. Эта категория используется для определения оповещений, которые пользователь может просматривать на странице Оповещений View.The category is used to determine which alerts a user can view on the View alerts page. Дополнительные сведения см. в сведениях о разрешениях RBAC, необходимых для просмотра оповещений.For more information, see RBAC permissions required to view alerts.

В таблице также указан план office 365 Enterprise и Office 365, необходимый для каждого из них.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Некоторые политики оповещения по умолчанию доступны, если в организации есть соответствующая подписка на надстройки в дополнение к подписке E1/F1/G1 или E3/F3/G3.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

Политика оповещений по умолчаниюDefault alert policy ОписаниеDescription CategoryCategory Корпоративная подпискаEnterprise subscription
Обнаружен потенциально вредоносный URL-адресA potentially malicious URL click was detected Создает оповещение, когда пользователь, защищенный безопасными ссылками в организации, щелкает вредоносную ссылку.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Это событие запускается при выявлении изменений url-адресов в Microsoft Defender для Office 365 или переопределения пользователями страниц "Безопасные ссылки" (в зависимости от политики Microsoft 365 организации для бизнеса безопасных ссылок).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Эта политика оповещения имеет параметр Высокой серьезности.This alert policy has a High severity setting. Для клиентов Defender для Office 365 P2, E5, G5 это предупреждение автоматически вызывает автоматическое расследование и ответ в Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Дополнительные сведения о событиях, которые вызывают это оповещение, см. в дополнительных сведениях о политиках "Настройка безопасных ссылок".For more information on events that trigger this alert, see Set up Safe Links policies. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Завершен результат отправки администратораAdmin Submission result completed Создает оповещение, когда отправка администратора завершает rescan представленного объекта.Generates an alert when an Admin Submission completes the rescan of the submitted entity. Оповещение запускается каждый раз, когда из отправки администратора отрисовывается результат rescan.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Эти оповещений призваны напомнить вам, чтобы просмотреть результаты предыдущих представлений, отправить сообщения пользователей, чтобы получить последние проверки политики и rescan вердикты, и помочь вам определить, имеют ли политики фильтрации в вашей организации, имеющие предполагаемые последствия.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Эта политика имеет параметр Низкой серьезности.This policy has a Low severity setting. Управление угрозамиThreat management E1/F1, E3/F3 или E5E1/F1, E3/F3, or E5
Администратор вызвал ручное исследование электронной почтыAdmin triggered manual investigation of email Создает оповещение, когда администратор запускает ручное расследование электронной почты из Обозревателя угроз.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Дополнительные сведения см. в [Примере: администратор безопасности запускает расследование из Обозревателя угроз] ( https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer) .For more information, see [Example: A security administrator triggers an investigation from Threat Explorer] (https://docs.microsoft.com/microsoft-365/security/office-365-security/automated-investigation-response-office#example-a-security-administrator-triggers-an-investigation-from-threat-explorer). Это предупреждение оповещает организацию о том, что расследование было начато.This alert notifies your organization that the investigation was started. Оповещение содержит сведения о том, кто его вызвал, и содержит ссылку на расследование.The alert provides information about who triggered it and includes a link to the investigation. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Microsoft Defender для Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Создание правила переадресации/перенаправленияCreation of forwarding/redirect rule Создает оповещение, когда кто-то в вашей организации создает правило почтового ящика, которое пересылает или перенаправляет сообщения в другую учетную запись электронной почты.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Эта политика отслеживает только правила почтовых ящиков, созданные с помощью Outlook в Интернете (ранее известном как Outlook Web App) или Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Эта политика имеет параметр Низкой серьезности.This policy has a Low severity setting. Дополнительные сведения об использовании правил почтовых ящиков для переадресации и перенаправления электронной почты в Outlook в Интернете см. в странице Использование правил в Outlook в Интернете для автоматической отправки сообщений на другую учетную запись.For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Поиск по обнаружению электронных обнаружений начался или экспортируетсяeDiscovery search started or exported Создает оповещение, когда кто-то использует средство поиска контента в центре безопасности и соответствия требованиям.Generates an alert when someone uses the Content search tool in the Security and compliance center. При выполнении следующих действий по поиску контента запускается оповещение:An alert is triggered when the following content search activities are performed:

* Начинается поиск контента* A content search is started
* Экспортируются результаты поиска контента* The results of a content search are exported
* Экспортируется отчет о поиске контента* A content search report is exported

Оповещения также срабатывает при выполнении предыдущих действий по поиску контента в связи с делом об обнаружении электронных обнаружений.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Дополнительные сведения о действиях по поиску контента см. в журнале Search for eDiscovery.For more information about content search activities, see Search for eDiscovery activities in the audit log.
Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Повышение привилегии администратора ExchangeElevation of Exchange admin privilege Создает оповещение, когда кому-то назначены административные разрешения в организации Exchange Online.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Например, при добавлении пользователя в группу ролей управления организацией в Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Эта политика имеет параметр Низкой серьезности.This policy has a Low severity setting. РазрешенияPermissions E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Сообщения электронной почты, содержащие вредоносные программы, удалены после доставкиEmail messages containing malware removed after delivery Создает оповещение при доставке любых сообщений, содержащих вредоносные программы, в почтовые ящики в организации.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Если это событие происходит, Корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки нулевого часа.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Эта политика имеет параметр "Информационная серьезность" и автоматически запускает автоматическое исследование и ответ в Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Microsoft Defender для Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Сообщения электронной почты, содержащие URL-адреса фишинга, удалены после доставкиEmail messages containing phish URLs removed after delivery Создает оповещение при доставке сообщений, содержащих фишинг, в почтовые ящики в организации.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Если это событие происходит, Корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online с помощью автоматической очистки нулевого часа.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Эта политика имеет параметр "Информационная серьезность" и автоматически запускает автоматическое исследование и ответ в Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Электронная почта, сообщаемая пользователем как вредоносная программа или фишингEmail reported by user as malware or phish Создает оповещение, когда пользователи в организации сообщают сообщения в качестве фишинговой электронной почты с помощью надстройки Report Message.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Дополнительные сведения об этой надстройки см. в добавлении "Сообщение отчета".For more information about this add-in, see Use the Report Message add-in. Для клиентов Defender для Office 365 P2, E5, G5 это предупреждение автоматически вызывает автоматическое расследование и ответ в Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Превышено ограничение на отправку электронной почтыEmail sending limit exceeded Создает оповещение, когда кто-то из вашей организации отправил больше почты, чем это разрешено политикой исходящие нежелательной почты.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Обычно это указывает на то, что пользователь отправляет слишком много электронной почты или может быть скомпрометирована учетная запись.This is usually an indication the user is sending too much email or that the account may be compromised. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Если вы получаете оповещение, сгенерированное этой политикой оповещений, следует проверить, скомпрометирована ли учетная запись пользователя.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Форма заблокирована из-за возможной попытки фишингаForm blocked due to potential phishing attempt Создает оповещение, когда кому-то из вашей организации было запрещено делиться формами и собирать ответы с помощью Microsoft Forms из-за обнаруженного повторного поведения попытки фишинга.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management E1, E3/F3 или E5E1, E3/F3, or E5
Форма помечена и подтверждена как фишингForm flagged and confirmed as phishing Создает оповещение, когда форма, созданная в Microsoft Forms из организации, была определена в качестве потенциального фишинга с помощью злоупотребления отчетами и подтверждена как фишинговая корпорация Майкрософт.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management E1, E3/F3 или E5E1, E3/F3, or E5
Задержки сообщенийMessages have been delayed Создает оповещение, когда Корпорация Майкрософт не может доставлять сообщения электронной почты локальной организации или серверу-партнеру с помощью соединитетеля.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. Когда это произойдет, сообщение в очереди в Office 365.When this happens, the message is queued in Office 365. Это предупреждение запускается, когда в очереди более часа находятся 2000 сообщений или более.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Поток обработки почтыMail flow E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Кампания вредоносных программ, обнаруженная после доставкиMalware campaign detected after delivery Создает оповещение, когда необычно большое количество сообщений, содержащих вредоносные программы, доставляется в почтовые ящики в организации.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Если это событие происходит, Корпорация Майкрософт удаляет зараженные сообщения из почтовых ящиков Exchange Online.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Microsoft Defender для Office 365 P2E5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Кампания вредоносных программ, обнаруженная и заблокированнаяMalware campaign detected and blocked Создает оповещение, когда кто-то пытался отправить пользователям в организации необычно большое количество сообщений электронной почты, содержащих определенный тип вредоносных программ.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Если это событие происходит, зараженные сообщения блокированы Корпорацией Майкрософт и не доставляются в почтовые ящики.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Эта политика имеет параметр Низкой серьезности.This policy has a Low severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Вредоносные программы, обнаруженные в SharePoint и OneDriveMalware campaign detected in SharePoint and OneDrive Создает оповещение при обнаружении необычно большого объема вредоносных программ или вирусов в файлах, расположенных на сайтах SharePoint или учетных записях OneDrive в организации.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Вредоносные программы не отключены из-за отключения ZAPMalware not zapped because ZAP is disabled Создает оповещение, когда Корпорация Майкрософт обнаруживает доставку сообщения вредоносных программ в почтовый ящик, поскольку Zero-Hour автоматической очистки для фишинговых сообщений отключена.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Фишинг доставлен из-за отключения папки нежелательной почты пользователяPhish delivered because a user's Junk Mail folder is disabled Создает оповещение, когда Корпорация Майкрософт обнаруживает отключенную папку нежелательной почты пользователя, что позволяет довести сообщение фишинга с высокой уверенностью до почтового ящика.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P1 или P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Фишинг, доставленный из-за переопределения ETRPhish delivered due to an ETR override Создает оповещение, когда Корпорация Майкрософт обнаруживает правило транспорта Exchange (ETR), разрешаее доставку сообщения фишинга с высокой уверенностью в почтовый ящик.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Дополнительные сведения о правилах транспорта Exchange (правила потока почты) см. в сведениях о правилах потока почты (правила транспорта) в Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P1 или P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Фишинг, доставленный из-за политики ip-допускаPhish delivered due to an IP allow policy Создает оповещение, когда Корпорация Майкрософт обнаруживает политику IP-допуска, которая позволяла довести сообщение фишинга с высокой уверенностью до почтового ящика.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Дополнительные сведения о политике ip-адресов (фильтрация подключений) см. в дополнительных сведениях о политике фильтрации подключений по умолчанию - Office 365.For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P1 или P2E5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Фишинг не отключен, так как zaP отключенPhish not zapped because ZAP is disabled Создает оповещение, когда Корпорация Майкрософт обнаруживает доставку сообщения фишинга с высокой уверенностью в почтовый ящик, поскольку Zero-Hour автоматической очистки для фишинговых сообщений отключена.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Эта политика имеет параметр "Информационная серьезность".This policy has an Informational severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Фишинг, доставленный из-за переопределения клиента или пользователя 1Phish delivered due to tenant or user override1 Создает оповещение, когда Корпорация Майкрософт обнаруживает переопределение администратора или пользователя, разрешенное для доставки фишинговых сообщений в почтовый ящик.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Примеры переопределения включают правило потока почтовых ящиков или почты, которое позволяет отправлять сообщения из определенного отправителей или домена, или политику борьбы со спамом, которая позволяет отправлять сообщения из определенных отправителей или доменов.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Подозрительные действия по отправке электронной почтыSuspicious email forwarding activity Создает оповещение, когда кто-то из вашей организации автоматически передает электронную почту подозрительной внешней учетной записи.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Это раннее предупреждение для поведения, которое может указывать на то, что учетная запись скомпрометирована, но недостаточно серьезная, чтобы ограничить пользователя.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Хотя это редко, предупреждение, генерируемая этой политикой, может быть аномалией.Although it's rare, an alert generated by this policy may be an anomaly. Следует проверить, скомпрометирована ли учетнаязапись пользователя.It's a good idea to check whether the user account is compromised. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Обнаруженные подозрительные шаблоны отправки электронной почтыSuspicious email sending patterns detected Создает оповещение, когда кто-то из вашей организации отправил подозрительные сообщения электронной почты и может быть ограничен в отправке электронной почты.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Это раннее предупреждение для поведения, которое может указывать на то, что учетная запись скомпрометирована, но недостаточно серьезная, чтобы ограничить пользователя.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Хотя это редко, предупреждение, генерируемая этой политикой, может быть аномалией.Although it's rare, an alert generated by this policy may be an anomaly. Тем не менее, это хорошая идея, чтобы проверить, является ли учетная запись пользователя скомпрометирована.However, it's a good idea to check whether the user account is compromised. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Клиент ограничен от отправки электронной почтыTenant restricted from sending email Создает оповещение, когда большая часть трафика электронной почты в организации была обнаружена подозрительной, а Корпорация Майкрософт ограничила отправку электронной почты в организации.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Изучите потенциально скомпрометированную учетную запись пользователя и администратора, новые соединителей или открытые ретрансляторы, а затем обратитесь в службу поддержки Майкрософт, чтобы разблокировать организацию.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Дополнительные сведения о причинах блокировки организаций см. в выпуске Исправление проблем с доставкой электронной почты для кода ошибки 5.7.7xx в Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Необычные действия внешних файлов пользователейUnusual external user file activity Создает оповещение, когда необычно большое количество действий выполняется в файлах в SharePoint или OneDrive пользователями за пределами вашей организации.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Это включает такие действия, как доступ к файлам, скачивание файлов и удаление файлов.This includes activities such as accessing files, downloading files, and deleting files. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление информациейInformation governance E5/G5, Microsoft Defender для Office 365 P2 или подписка на надстройки Microsoft 365 E5E5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Необычный объем внешнего общего доступа к файламUnusual volume of external file sharing Создает оповещение, когда необычно большое количество файлов в SharePoint или OneDrive передается пользователям за пределами организации.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Управление информациейInformation governance E5/G5, Defender для Office 365 P2 или подписка на надстройки Microsoft 365 E5E5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Необычный объем удаления файловUnusual volume of file deletion Создает оповещение при удалении необычно большого количества файлов в SharePoint или OneDrive в течение короткого времени.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Управление информациейInformation governance E5/G5, Defender для Office 365 P2 или подписка на надстройки Microsoft 365 E5E5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Необычное увеличение числа сообщений электронной почты, сообщаемой как фишингUnusual increase in email reported as phish Создает оповещение при значительном увеличении числа людей в организации с помощью надстройки "Сообщение отчетов в Outlook" для сообщения в качестве фишинговой почты.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Дополнительные сведения об этой надстройки см. в добавлении "Сообщение отчета".For more information about this add-in, see Use the Report Message add-in. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Фишинг для пользователя, переданный в папку "Входящие/папки1,2"User impersonation phish delivered to inbox/folder1,2 Создает оповещение, когда Корпорация Майкрософт обнаруживает, что переопределение администратора или пользователя разрешило доставку фишинговых сообщений пользователя в почтовый ящик (или другую папку, доступную пользователю) почтового ящика.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Примеры переопределения включают правило потока почтовых ящиков или почты, которое позволяет отправлять сообщения из определенного отправителей или домена, или политику борьбы со спамом, которая позволяет отправлять сообщения из определенных отправителей или доменов.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Эта политика имеет параметр Средней серьезности.This policy has a Medium severity setting. Управление угрозамиThreat management Подписка на надстройки E5/G5 или Defender для Office 365 P2E5/G5 or Defender for Office 365 P2 add-on subscription
Пользователь, ограниченный от отправки электронной почтыUser restricted from sending email Создает оповещение, когда кому-либо из вашей организации запрещено отправлять исходящие сообщения.Generates an alert when someone in your organization is restricted from sending outbound mail. Обычно это приводит к взлому учетной записи, и пользователь указан на странице Ограниченные пользователи в Центре & соответствия требованиям.This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Security & Compliance Center. (Чтобы получить доступ к этой странице, перейдите к управлению угрозами > Обзор > Ограниченные пользователи).(To access this page, go to Threat management > Review > Restricted Users). Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Дополнительные сведения об ограниченных пользователях см. в сообщении Об удалении пользователя, домена или IP-адреса из списка блокировки после отправки нежелательной почты.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. Управление угрозамиThreat management E1/F1/G1, E3/F3/G3 или E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Пользователям запрещено делиться формами и собирать ответыUser restricted from sharing forms and collecting responses Создает оповещение, когда кому-то из вашей организации было запрещено делиться формами и собирать ответы с помощью Microsoft Forms из-за обнаруженного повторного поведения попытки фишинга.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Эта политика имеет параметр Высокой серьезности.This policy has a High severity setting. Управление угрозамиThreat management E1, E3/F3 или E5E1, E3/F3, or E5

Примечание

1 Мы временно удалили эту политику оповещения по умолчанию на основе отзывов клиентов.1 We've temporarily removed this default alert policy based on customer feedback. Мы работаем над его улучшением и заменим его новой версией в ближайшем будущем.We're working to improve it, and will replace it with a new version in the near future. До этого момента можно создать настраиваемую политику оповещения, чтобы заменить эту функцию с помощью следующих параметров:Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * Действие — это фишинговая электронная почта, обнаруженная во время доставки  * Activity is Phish email detected at time of delivery
  * Почта не ZAP'd  * Mail is not ZAP'd
  * Направление почты входящий  * Mail direction is Inbound
  * Доставлено состояние доставки почты  * Mail delivery status is Delivered
  * Технология обнаружения — это хранение вредоносных URL-адресов, детонация URL-адресов, расширенный фильтр фишинга, общий фильтр фишинга, обезличение домена, вымысло пользователя и вымышление бренда.  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Дополнительные сведения о борьбе с фишингом в Office 365 см. в дополнительных сведениях о настройках политики защиты от фишинга и фишинга.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Чтобы воссоздать эту политику оповещения, следуйте указаниям в предыдущей сноске, но выберите имя пользователя как единственную технологию обнаружения.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

Необычное действие, отслеживаемое некоторыми встроенными политиками, основано на том же процессе, что и ранее описанный параметр порога оповещения.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Корпорация Майкрософт устанавливает базовое значение, которое определяет нормальную частоту для "обычной" активности.Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. Затем срабатывает оповещение, когда частота действий, отслеживаемая встроенной политикой оповещения, значительно превышает базовое значение.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Просмотр оповещенийViewing alerts

Если действия, выполняемые пользователями в организации, совпадают с настройками политики оповещения, на странице Оповещений View в центре безопасности и соответствия требованиям создается и отображается оповещение.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the View alerts page in the security and compliance center. В зависимости от параметров политики оповещения уведомление электронной почты также отправляется в список указанных пользователей при запуске оповещений.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. Для каждого оповещения панель мониторинга на странице Оповещений View отображает имя соответствующей политики оповещения, серьезность и категорию оповещения (определенной в политике оповещения), а также количество случаев, когда происходило действие, в результате которого создается оповещение.For each alert, the dashboard on the View alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Это значение основано на пороговом параметре политики оповещения.This value is based on the threshold setting of the alert policy. Панель мониторинга также отображает состояние для каждого оповещения.The dashboard also shows the status for each alert. Дополнительные сведения об использовании свойства состояния для управления оповещениями см. в рублях Managing alerts.For more information about using the status property to manage alerts, see Managing alerts.

Чтобы просмотреть оповещений, перейдите к и https://protection.office.com выберите оповещений > Просмотр оповещений.To view alerts, go to https://protection.office.com and then select Alerts > View alerts.

В области безопасности и соответствия требованиям выберите оповещений, а затем выберите оповещений View для просмотра оповещений

Чтобы просмотреть подмножество всех оповещений на странице Оповещений View, можно использовать следующие фильтры.You can use the following filters to view a subset of all the alerts on the View alerts page.

  • Состояние.Status. Этот фильтр используется для показа оповещений, которые назначены определенному статусу.Use this filter to show alerts that are assigned a particular status. По умолчанию состояние Active.The default status is Active. Вы или другие администраторы можете изменить значение состояния.You or other administrators can change the status value.

  • Политика.Policy. Этот фильтр используется для демонстрации оповещений, которые соответствуют параметру одной или более политик оповещения.Use this filter to show alerts that match the setting of one or more alert policies. Или вы можете отобразить все оповещения для всех политик оповещения.Or you can display all alerts for all alert policies.

  • Диапазон времени.Time range. Этот фильтр используется для демонстрации оповещений, созданных в определенном диапазоне дат и времени.Use this filter to show alerts that were generated within a specific date and time range.

  • Серьезность.Severity. Этот фильтр используется для демонстрации оповещений, которые назначены определенной серьезности.Use this filter to show alerts that are assigned a specific severity.

  • Категория.Category. Этот фильтр используется для демонстрации оповещений из одной или более категорий оповещений.Use this filter to show alerts from one or more alert categories.

  • Теги.Tags. Этот фильтр используется для демонстрации оповещений с одного или более тегов пользователей.Use this filter to show alerts from one or more user tags. Теги отражаются на основе помеченных почтовых ящиков или пользователей, которые отображаются в оповещениях.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Дополнительные данные см. в тегах пользователей в ATP Office 356.See User tags in Office 356 ATP to learn more.

  • Источник.Source. Этот фильтр используется для демонстрации оповещений, инициированных политиками оповещения в центре безопасности и соответствия требованиям, или оповещений, инициированных политиками безопасности облачных приложений Office 365 или обоими.Use this filter to show alerts triggered by alert policies in the security and compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Дополнительные сведения о оповещениях о безопасности облачных приложений Office 365 см. в обзоре оповещений о безопасности облачных приложений.For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Важно!

Фильтрация и сортировка по тегам пользователей в настоящее время находятся в режиме предварительного просмотра.Filtering and sorting by user tags is currently in public preview. Он может быть существенно изменен до его коммерческого выпуска.It may be substantially modified before it's commercially released. Корпорация Майкрософт не предоставляет никаких гарантий, не выражая или подразумевая, в отношении сведений, предоставленных о нем.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

Агрегация оповещенийAlert aggregation

Если несколько событий, совпадавших с условиями политики оповещения, происходят с коротким периодом времени, они добавляются в существующее оповещение процессом, называемым агрегированием оповещений.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. Когда событие вызывает оповещение, оповещение создается и отображается на странице Оповещений View и отправляется уведомление.When an event triggers an alert, the alert is generated and displayed on the View alerts page and a notification is sent. Если одно и то же событие происходит в интервале агрегации, microsoft 365 добавляет сведения о новом событии в существующее оповещение, а не запускает новое оповещение.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. Цель агрегации оповещений заключается в том, чтобы снизить уровень "усталости" оповещений, а также сосредоточиться на меньшем количество оповещений для того же события.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

Длина интервала агрегации зависит от подписки на Office 365 или Microsoft 365.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

ПодпискаSubscription Интервал агрегацииAggregation interval
Office 365 или Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 минута1 minute
Defender для Office 365 (план 2)Defender for Office 365 Plan 2 1 минута1 minute
Надстройка соответствия требованиям E5 или надстройка обнаружения и аудита E5E5 Compliance add-on or E5 Discovery and Audit add-on 1 минута1 minute
Office 365 или Microsoft 365 E1/F1/G1 или E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 минут15 minutes
Защитник для Office 365 Plan 1 или Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 минут15 minutes

Когда события, совпадают с той же политикой оповещения, происходят в интервале агрегации, сведения о последующем событии добавляются в исходное оповещение.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. Для всех событий сведения об агрегированных событиях отображаются в поле сведений, а число событий, произошедших с интервалом агрегации, отображается в поле количество действий и попаданий.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Дополнительные сведения обо всех экземплярах агрегированных событий можно просмотреть в списке действий.You can view more information about all aggregated events instances by viewing the activity list.

На следующем скриншоте показано оповещение с четырьмя агрегированные событиями.The following screenshot shows an alert with four aggregated events. Список действий содержит сведения о четырех сообщениях электронной почты, соответствующих оповещению.The activity list contains information about the four email messages relevant to the alert.

Пример агрегации оповещений

О агрегации оповещений следует помнить следующие вещи:Keep the following things in mind about alert aggregation:

  • Оповещений, спровоцированных потенциально вредоносным URL-адресом, было обнаружено, что политика оповещения по умолчанию не агрегируется.Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. Это вызвано тем, что оповещения, инициированные этой политикой, уникальны для каждого пользователя и сообщения электронной почты.This is because alerts triggered by this policy are unique to each user and email message.

  • В настоящее время свойство оповещений "Число попаданий" не указывает количество агрегированных событий для всех политик оповещения.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. Для оповещений, инициированных этими политиками оповещений, можно просмотреть агрегированные события, щелкнув список сообщений View или просмотреть действия в оповещении.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Мы работаем над тем, чтобы количество агрегированных событий, перечисленных в свойстве оповещения "Число ударов", было доступно для всех политик оповещения.We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

Разрешения RBAC, необходимые для просмотра оповещенийRBAC permissions required to view alerts

Разрешения на управление доступом на основе ролей (RBAC), которые назначены пользователям в организации, определяют, какие оповещения пользователь может видеть на странице Оповещений View.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the View alerts page. Как это сделать?How is this accomplished? Роли управления, назначенные пользователям (на основе их членства в группах ролей в Центре & безопасности) определяют, какие категории оповещений пользователь может видеть на странице Оповещений View.The management roles assigned to users (based on their membership in role groups in the Security & Compliance Center) determine which alert categories a user can see on the View alerts page. Ниже приводятся примеры:Here are some examples:

  • Члены группы ролей управления записями могут просматривать только оповещения, созданные политиками оповещения, заданной категории управления информацией.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Члены группы ролей администратора соответствия требованиям не могут просматривать оповещения, созданные политиками оповещения, заданной категории управления угрозами.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Члены группы ролей диспетчера электронных открытий не могут просматривать оповещения, так как ни одна из назначенных ролей не дает разрешения на просмотр оповещений из любой категории оповещений.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Эта конструкция (на основе разрешений RBAC) позволяет определить, какие оповещения могут просматриваться (и управляться) пользователями в определенных ролях задания в организации.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

В следующей таблице перечислены роли, необходимые для просмотра оповещений из шести различных категорий оповещений.The following table lists the roles that are required to view alerts from the six different alert categories. В первом столбце таблиц перечислены все роли в центре & безопасности.The first column in the tables lists all roles in the Security & Compliance Center. На чековом знаке указывается, что пользователь, которому назначена эта роль, может просматривать оповещения из соответствующей категории оповещений, перечисленных в верхнем ряду.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Чтобы узнать, к какой категории назначена политика оповещений по умолчанию, см. в таблице в политиках оповещенийпо умолчанию.To see which category a default alert policy is assigned to, see the table in Default alert policies.

RoleRole Управление информациейInformation governance Защита от потери данныхData loss prevention Поток обработки почтыMail flow РазрешенияPermissions Управление угрозамиThreat management ДругиеOthers
Журналы аудитаAudit Logs
Управление случаемCase Management
Администратор соответствияCompliance Administrator Флажок Флажок Флажок Флажок
Поиск соответствияCompliance Search
Управление устройствамиDevice Management
Управление диспозициямиDisposition Management
Управление соответствием требованиям DLPDLP Compliance Management Флажок
ЭкспортExport
HoldHold
Управление оповещениямиManage Alerts Флажок
Конфигурация организацииOrganization Configuration Флажок
Предварительная версияPreview
Управление записямиRecord Management Флажок
Управление хранениемRetention Management Флажок
ПроверкаReview
Расшифровка RMSRMS Decrypt
Управление рольюRole Management Флажок
Поиск и очисткаSearch And Purge
Администратор безопасностиSecurity Administrator Флажок Флажок Флажок Флажок
Читатель сведений о безопасностиSecurity Reader Флажок Флажок Флажок Флажок
Представление обеспечения службыService Assurance View
Администратор проверки надзораSupervisory Review Administrator
View-Only журналы аудитаView-Only Audit Logs
View-Only управления устройствамиView-Only Device Management
View-Only управления соответствием требованиям DLPView-Only DLP Compliance Management Флажок
View-Only Управление оповещениямиView-Only Manage Alerts Флажок
Получатели только для чтенияView-Only Recipients Флажок
View-Only управления записямиView-Only Record Management Флажок
View-Only управления хранениемView-Only Retention Management Флажок

Совет

Чтобы просмотреть роли, которые назначены каждой из групп ролей по умолчанию, запустите следующие команды в центре & PowerShell:To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

Вы также можете просмотреть роли, присвоенные группе ролей в Центре & безопасности.You can also view the roles assigned to a role group in the Security & Compliance Center. Перейдите на страницу Разрешения и выберите группу ролей.Go to the Permissions page, and select a role group. Назначенные роли перечислены на странице вылетов.The assigned roles are listed on the flyout page.

Управление оповещениямиManaging alerts

После сгенерирований и отображения оповещений на странице Просмотр оповещений в центре безопасности и соответствия требованиям можно просмотреть, исследовать и разрешить их.After alerts have been generated and displayed on the View alerts page in the security and compliance center, you can triage, investigate, and resolve them. Вот некоторые задачи, которые можно выполнить для управления оповещениями.Here are some tasks you can perform to manage alerts.

  • Назначение состояния оповещений.Assign a status to alerts. Одно из следующих статусов можно назначить оповещениям: Active (значение по умолчанию), Investigating, Resolved или Dismissed.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. Затем в этом параметре можно отфильтровать оповещения с тем же параметром состояния.Then, you can filter on this setting to display alerts with the same status setting. Этот параметр состояния может помочь отслеживать процесс управления оповещениями.This status setting can help track the process of managing alerts.

  • Просмотр сведений об оповещении.View alert details. Вы можете выбрать оповещение, чтобы отобразить страницу вылетов с подробными сведениями о предупреждении.You can select an alert to display a flyout page with details about the alert. Подробные сведения зависят от соответствующей политики оповещения, но обычно включают в себя следующее: имя фактической операции, которая вызвала оповещение (например, cmdlet), описание действия, которое вызвало оповещение, пользователя (или список пользователей), который вызвал оповещение, и имя (и ссылка на) соответствующей политики оповещения.The detailed information depends on the corresponding alert policy, but it typically includes the following: name of the actual operation that triggered the alert (such as a cmdlet), a description of the activity that triggered the alert, the user (or list of users) who triggered the alert, and the name (and link to) of the corresponding alert policy.

    • Имя фактической операции, которая вызвала оповещение, например, cmdlet или операция журнала аудита.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • Описание действия, которое вызвало оповещение.A description of the activity that triggered the alert.

    • Пользователь, который вызвал оповещение.The user who triggered the alert. Это включается только для политик оповещения, которые настроены для отслеживания одного пользователя или одного действия.This is included only for alert policies that are set up to track a single user or a single activity.

    • Количество выполняемой активности, отслеживаемой оповещением.The number of times the activity tracked by the alert was performed. Это число может не совпадать с фактическим числом связанных оповещений, перечисленных на странице Оповещений View, так как может быть вызвано большее число оповещений.This number may not match that actual number of related alerts listed on the View alerts page because more alerts may have been triggered.

    • Ссылка на список действий, включающим элемент для каждого выполненного действия, который вызвал оповещение.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Каждая запись в этом списке определяет, когда произошла операция, имя фактической операции (например, "FileDeleted"), а также пользователя, который выполнял действие, объект (например, файл, случай с электронным открытием или почтовый ящик), на котором выполнялось действие, и IP-адрес компьютера пользователя.Each entry in this list identifies when the activity occurred, the name of actual operation (such as "FileDeleted"), and the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Для оповещений, связанных с вредоносными программами, это ссылки на список сообщений.For malware-related alerts, this links to a message list.

    • Имя (и ссылка) соответствующей политики оповещения.The name (and link to) of the corresponding alert policy.

  • Подавление уведомлений электронной почты.Suppress email notifications. Вы можете отключить (или подавлять) уведомления электронной почты со страницы вылетов для оповещения.You can turn off (or suppress) email notifications from the flyout page for an alert. При подавлении уведомлений электронной почты Корпорация Майкрософт не будет отправлять уведомления, если действия или события соответствуют условиям политики оповещения.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy. Но оповещения будут запускаться, когда действия, выполняемые пользователями, соответствуют условиям политики оповещения.But alerts will be triggered when activities performed by users match the conditions of the alert policy. Вы также можете отключить уведомления электронной почты, редактировать политику оповещения.You can also turn off email notifications by editing the alert policy.

  • Устранение оповещений.Resolve alerts. Вы можете пометить оповещение как разрешено на странице вылетов для оповещения (которое задает состояние оповещений к Resolved).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). Если не изменить фильтр, разрешенные оповещений не отображаются на странице Оповещений View.Unless you change the filter, resolved alerts aren't displayed on the View alerts page.

Просмотр оповещений о безопасности облачных приложенийViewing Cloud App Security alerts

Оповещения, запускаемые политиками безопасности облачных приложений Office 365, теперь отображаются на странице Оповещений View в центре безопасности и соответствия требованиям.Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the View alerts page in the security and compliance center. Это включает оповещения, запускаемые политиками действий и оповещениями, которые запускаются политиками обнаружения аномалий в Службе безопасности облачных приложений Office 365.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Это означает, что вы можете просматривать все оповещения в центре безопасности и соответствия требованиям.This means you can view all alerts in the security and compliance center. Служба безопасности облачных приложений Office 365 доступна только для организаций с подпиской на Office 365 Enterprise E5 или Office 365.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Дополнительные сведения см. в обзоре безопасности облачных приложений.For more information, see Overview of Cloud App Security.

Организации, которые имеют безопасность облачных приложений Microsoft в рамках подписки Enterprise Mobility + Security E5 или в качестве автономных служб, также могут просматривать оповещения о безопасности облачных приложений, связанные с приложениями и службами Office 365 в Центре обеспечения соответствия требованиям & безопасности.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Office 365 apps and services in the Security & Compliance Center.

Для отображения только оповещений безопасности облачных приложений в центре безопасности и соответствия требованиям используйте фильтр Source и выберите безопасность облачных приложений.To display only Cloud App Security alerts in the security and compliance center, use the Source filter and select Cloud App Security.

Используйте фильтр Source для отображения только оповещений безопасности облачных приложений

Подобно оповещению, срабатываемой политикой оповещения в центре безопасности и соответствия требованиям, вы можете выбрать оповещение о безопасности облачных приложений, чтобы отобразить страницу вылетов с подробными сведениями о предупреждении.Similar to an alert triggered by an alert policy in the security and compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. Предупреждение включает ссылку для просмотра сведений и управления оповещением на портале безопасности облачных приложений и ссылку на соответствующую политику безопасности облачных приложений, которая вызвала оповещение.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. См. в приложении Monitor alerts in Cloud App Security.See Monitor alerts in Cloud App Security.

Сведения оповещений содержат ссылки на портал безопасности облачных приложений

Важно!

Изменение состояния оповещений о безопасности облачных приложений в центре безопасности и соответствия требованиям не будет обновлять состояние разрешения для того же оповещения на портале безопасности облачных приложений.Changing the status of a Cloud App Security alert in the security and compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Например, если вы отмечаете состояние оповещений как Resolved в центре безопасности и соответствия требованиям, состояние оповещений на портале безопасности облачных приложений остается неизменным.For example, if you mark the status of the alert as Resolved in the security and compliance center, the status of the alert in the Cloud App Security portal is unchanged. Чтобы устранить или отклонять предупреждение о безопасности облачных приложений, управляйте оповещением на портале безопасности облачных приложений.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.