在 Microsoft Defender XDR 中配置警报通知

  • 项目

适用于:

可以将Microsoft Defender XDR配置为将新警报电子邮件通知发送到指定的收件人。 此功能使你能够识别一组将立即获得通知的个人,并可以根据警报的严重性对警报采取行动。

如果使用 Defender for Business,可以为特定用户设置电子邮件通知 (而不是角色或组) 。

注意

  • 只有具有“管理安全设置”权限的用户才能配置电子邮件通知。 如果选择使用基本权限管理,则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。
  • Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

可以设置触发通知的警报严重性级别。 还可以添加或删除电子邮件通知的收件人。 新收件人会收到有关添加后触发的警报的通知。 有关警报的详细信息,请参阅 查看和组织警报队列

如果使用基于角色的访问控制 (RBAC) ,则收件人将仅接收基于通知规则中配置的设备组的通知。 具有适当权限的用户只能创建、编辑或删除仅限于其设备组管理范围的通知。 只有分配到 全局管理员 角色的用户才能管理为所有设备组配置的通知规则。

电子邮件通知包括有关警报的基本信息以及可在其中执行进一步调查的门户链接。

警报通知Create规则

可以创建规则来确定设备和警报严重性,以便为和通知收件人发送电子邮件通知。

  1. 转到Microsoft Defender XDR,并使用分配有安全管理员或全局管理员角色的帐户登录。

  2. 在导航窗格中,选择“设置>终结点>常规>Email通知”。

  3. 单击“ 添加项”。

  4. 指定常规信息:

    • 规则名称 - 指定通知规则的名称。

    • 包括组织名称 - 指定电子邮件通知上显示的客户名称。

    • 包括特定于租户的门户链接 - 添加包含租户 ID 的链接,以允许访问特定租户。

    • 包括设备信息 - 在电子邮件警报正文中包含设备名称。

      注意

      此信息可能由不在为 Defender 数据选择的地理位置的收件人邮件服务器处理。

    • 设备 - 选择是在仅) (全局管理员 角色的所有设备上还是所选设备组上通知收件人警报。 有关详细信息,请参阅Create和管理设备组。 (如果使用 Defender for Business,则设备组不适用。)

    • 警报严重性 - 选择警报严重性级别。

  5. 单击下一个

  6. 输入收件人的电子邮件地址,然后单击“ 添加收件人”。 可添加多个电子邮件地址。

  7. 选择“发送测试电子邮件”,检查电子邮件收件人是否可以接收电子邮件通知。

  8. 单击“ 保存通知规则”。

编辑通知规则

  1. 选择要编辑的通知规则。

  2. 更新“常规”和“收件人”选项卡信息。

  3. 单击“ 保存通知规则”。

删除通知规则

  1. 选择要删除的通知规则。

  2. 单击“删除”

排查警报电子邮件通知问题

本部分列出了在对警报使用电子邮件通知时可能遇到的各种问题。

问题: 预期收件人报告他们未收到通知。

解决 方案: 确保电子邮件筛选器未阻止通知:

  1. 检查电子邮件通知是否未发送到垃圾邮件Email文件夹。 将它们标记为非垃圾邮件。
  2. 检查电子邮件安全产品是否未阻止电子邮件通知。
  3. 检查可能正在捕获和移动电子邮件通知的电子邮件应用程序规则。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区