在 Microsoft Defender 全面偵測回應中透過電子郵件取得事件通知

適用於：

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

您可以設定 Microsoft Defender 全面偵測回應，以透過電子郵件通知員工有關新事件或現有事件更新的電子郵件。您可以選擇根據下列專案取得通知：

選擇只接收特定服務來源的電子郵件通知：您可以輕鬆地選取想要取得電子郵件通知的特定服務來源。

透過特定偵測來源取得更細微的功能：您只能取得特定偵測來源的通知。

設定每個偵測或服務來源的嚴重性：您可以選擇只針對每個來源的特定嚴重性取得電子郵件通知。例如，您可以收到 EDR 中度和高度警示的通知，以及 Microsoft Defender 專家的所有嚴重性。

電子郵件通知包含事件的重要詳細數據，例如事件名稱、嚴重性和類別等。您也可以直接前往事件，並立即開始分析。如需詳細資訊，請參閱調查事件。

您可以在電子郵件通知中新增或移除收件者。新收件者會在新增事件之後收到通知。

注意事項

您需要 [ 管理安全性設定] 許可權，才能設定電子郵件通知設定。如果您選擇使用基本許可權管理，具有安全性系統管理員或全域管理員角色的使用者可以設定電子郵件通知。

同樣地，如果您的組織使用角色型訪問控制 (RBAC) ，您只能根據允許您管理的裝置群組來建立、編輯、刪除和接收通知。

Create 電子郵件通知的規則

請遵循下列步驟建立新的規則，並自訂電子郵件通知設定。

移至瀏覽窗格中的 [Microsoft Defender 全面偵測回應]，選取 [設定 > Microsoft Defender 全面偵測回應 > 事件電子郵件通知]。
選取 [新增專案]。
在 [ 基本] 頁面上，輸入規則名稱和描述，然後選取 [ 下一步]。
在 [ 通知設定] 頁面上，設定：
- 警示嚴重性 - 選擇將觸發事件通知的警示嚴重性。例如，如果您只想要收到高嚴重性事件的相關通知，請選取 [ 高]。
- 裝置群組範圍 - 您可以指定所有裝置群組，或從您租用戶中的裝置群組清單選取。
- 每個事件只傳送一個通知 - 如果您想要每個事件一個通知，請選取。
- 在電子郵件中包含組織名稱 - 選取您是否希望讓組織名稱出現在電子郵件通知中。
- 包含租用戶專用入口網站連結 - 選取您是否希望在電子郵件通知中新增包含租用戶識別碼的連結，以便存取特定的 Microsoft 365 租用戶。
選取 [下一步]。在 [ 收件者] 頁面上，新增將接收事件通知的電子郵件位址。輸入每個新電子郵件地址之後，選取 [ 新增 ]。若要測試通知並確保收件者會在收件匣中收到通知，請選取 [ 傳送測試電子郵件]。
選取 [下一步]。在 [檢閱規則] 頁面上，檢閱規則的設定，然後選取 [Create 規則]。收件者會根據設定，開始透過電子郵件接收事件通知。

若要編輯現有的規則，請從規則清單中選取它。在具有規則名稱的窗格上，選取 [ 編輯規則 ]，然後在 [ 基本]、[ 通知設定] 和 [ 收件者] 頁面上進行變更。

若要刪除規則，請從規則清單中選取它。在具有規則名稱的窗格上，選取 [ 刪除]。

收到通知之後，您可以直接前往事件，並立即開始調查。如需調查事件的詳細資訊，請參閱調查 Microsoft Defender 全面偵測回應中的事件。