在 Microsoft Defender 全面偵測回應 中取得回應動作的電子郵件通知
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
您可以設定 Microsoft Defender 全面偵測回應,透過電子郵件通知您手動或自動化回應動作。
手動回應動作 是安全性小組可用來停止威脅或協助調查攻擊的動作。 這些動作會根據您環境中啟用的 Defender 工作負載而有所不同。
另一方面,自動化回應動作是 Microsoft 35 Defender 中自動調整調查和解決威脅的功能。 自動化補救功能包含 自動攻擊中斷 和 自動化調查和回應。
注意事項
您需要 [ 管理安全性設定] 許可權,才能設定電子郵件通知設定。 如果您選擇使用基本許可權管理,具有安全性系統管理員或全域管理員角色的使用者可以設定電子郵件通知。 同樣地,如果您的組織使用 角色型訪問控制 (RBAC) ,您只能根據您允許管理的裝置群組來建立、編輯、刪除和接收通知。
Create 電子郵件通知的規則
注意事項
回應動作電子郵件通知目前不支援包含回應動作的自定義偵測。
若要建立電子郵件通知的規則,請執行下列步驟:
- 在 [Microsoft Defender 全面偵測回應] 的瀏覽窗格中,選取 [設定 > Microsoft Defender 全面偵測回應]。 在 [一般] 底下,選取 [Email 通知]。 移至 [動作] 索引標籤。
![[Microsoft Defender 全面偵測回應 設定] 頁面中的 [動作] 索引卷標](/zh-tw/defender/media/m35d-response-actions-notifications/fig1-response-notifications.png)
- 選 取 [新增通知規則]。 在 [基本概念] 下新增規則名稱和描述。 [名稱] 和 [描述] 字段都只接受字母、數位和空格。
- 選取窗格底部的 [下一步],以繼續進行下一節。
- 您可以在 [ 通知設定 ] 區段中選擇動作的類型、狀態,以及動作的來源。
- 在 [ 動作來源] 下,選取您要收到手動或自動化響應動作的通知。 您可以選取這兩個選項。
- 在 [動作] 下方顯示的檢查清單中,選取特定的響應 動作。 您可以選擇檢查清單中可用的多個動作。 請注意,回應動作會根據您環境中啟用的 Defender 工作負載而有所不同。 完成時,所有選取的動作都會出現在 [動作] 欄位中。
![在新增通知規則的 [通知設定] 區段中反白顯示 [動作] 字段](/zh-tw/defender/media/m35d-response-actions-notifications/fig4-response-notifications.png)
- 您可以選擇根據裝置群組範圍中套用回應動作的裝置群 組來收到通知。 若要在所有目前和未來的裝置群組中收到回應動作的通知,請選取 [ 所有裝置 群組]。 若要在屬於所選裝置群組的裝置上收到回應動作的通知,請選擇 [ 選取的裝置群組]。
![在新增通知規則的 [通知設定] 區段中反白顯示裝置群組範圍](/zh-tw/defender/media/m35d-response-actions-notifications/fig5-response-notifications.png)
- 選取您是否要在 [動作 狀態 ] 字段中收到動作已完成或失敗的通知。 您可以選擇所有可用的選項。
- 在窗格底部,您可以選取 [ 下一步],繼續進行下一節。 或者,您可以選取 [上一步] 傳回 [基本] 區段。
- 在 [ 收件者] 區段中 ,您可以新增一或多個將接收通知的電子郵件位址。 在每個地址的結尾新增逗號來分隔多個位址。 選 取 [新增 ] 以新增收件者。 成功新增地址之後,您可以在窗格底部看到收件者。
![在新增通知規則的 [收件者] 區段中新增多個位址](/zh-tw/defender/media/m35d-response-actions-notifications/fig6-response-notifications.png)
- 選取 [ 傳送測試電子郵件] 來測試通知。 選取窗格底部的 [下一步],以繼續進行檢閱區段。
- 在 [檢 閱規則 ] 區段中檢查規則的詳細數據。 您可以在每個區段的詳細數據下選取 [ 編輯 ],以編輯詳細數據。
![在 [檢閱規則] 區段中醒目提示 [編輯] 選項](/zh-tw/defender/media/m35d-response-actions-notifications/fig7-response-notifications.png)
- 選取窗格底部的 [ 提交 ] 以完成規則建立。 收件者會根據設定開始透過電子郵件接收通知。 新規則會出現在 [動作] 索引標籤下的 [通知] 規則清單中。
- 若要編輯或刪除通知規則,請從清單中選取規則。 選 取 [編輯 ] 以變更規則的詳細數據。 選 取 [刪除 ] 以移除規則。
![在規則清單檢視中反白顯示 [編輯和刪除] 選項](/zh-tw/defender/media/m35d-response-actions-notifications/fig8-response-notifications.png)
![[Microsoft Defender 全面偵測回應 設定] 頁面中的 [動作] 索引卷標](/zh-tw/defender/media/m35d-response-actions-notifications/fig1-response-notifications.png#lightbox)
![在新增通知規則的 [通知設定] 區段中反白顯示 [動作] 字段](/zh-tw/defender/media/m35d-response-actions-notifications/fig4-response-notifications.png#lightbox)
![在新增通知規則的 [通知設定] 區段中反白顯示裝置群組範圍](/zh-tw/defender/media/m35d-response-actions-notifications/fig5-response-notifications.png#lightbox)
![在新增通知規則的 [收件者] 區段中新增多個位址](/zh-tw/defender/media/m35d-response-actions-notifications/fig6-response-notifications.png#lightbox)
![在 [檢閱規則] 區段中醒目提示 [編輯] 選項](/zh-tw/defender/media/m35d-response-actions-notifications/fig7-response-notifications.png#lightbox)
![在規則清單檢視中反白顯示 [編輯和刪除] 選項](/zh-tw/defender/media/m35d-response-actions-notifications/fig8-response-notifications.png#lightbox)
收到通知之後,您可以直接前往動作,並檢閱或補救動作。
後續步驟
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應