Настройка уведомлений по электронной почте об уязвимостях в Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Настройте Microsoft Defender для конечной точки для отправки уведомлений по электронной почте указанным получателям о новых событиях уязвимостей. Эта функция позволяет определить группу лиц, которые будут немедленно проинформированы и могут действовать в соответствии с уведомлениями в зависимости от события. Сведения об уязвимостях поступают из Службы управления уязвимостями Microsoft Defender.

Если вы используете Defender для бизнеса, вы можете настроить уведомления об уязвимостях только для определенных пользователей (не ролей или групп).

Примечание.

  • Настраивать уведомления по электронной почте могут только пользователи с Manage security settings разрешениями. Если вы решили использовать базовое управление разрешениями, пользователи с ролями "Администратор безопасности" или "Глобальный администратор" могут настраивать уведомления по электронной почте. Дополнительные сведения о параметрах разрешений
  • Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Правила уведомлений позволяют задавать события уязвимостей, которые активируют уведомления, а также добавлять или удалять получателей уведомлений по электронной почте. После добавления новые получатели получают уведомления об уязвимостях.

Если вы используете управление доступом на основе ролей (RBAC), получатели будут получать уведомления только на основе групп устройств, настроенных в правиле уведомлений. Пользователи с соответствующим разрешением могут создавать, изменять или удалять только уведомления, ограниченные областью управления группами устройств. Только пользователи, назначенные роли глобального администратора, могут управлять правилами уведомлений, настроенными для всех групп устройств.

Уведомление по электронной почте содержит основные сведения о событии уязвимости. Также есть ссылки на отфильтрованные представления на страницах Рекомендации по безопасности управления уязвимостями в Defender и Слабые места на портале, чтобы вы могли продолжить изучение. Например, можно получить список всех доступных устройств или получить дополнительные сведения об уязвимости.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Создание правил для уведомлений об оповещениях

Создайте правило уведомлений для отправки сообщения электронной почты при наличии определенных событий эксплойтов или уязвимостей, таких как новый общедоступный эксплойт. Для каждого правила можно выбрать несколько типов событий.

  1. Войдите на портал Microsoft Defender и с помощью учетной записи с назначенной ролью администратора безопасности или глобального администратора.

  2. В области навигации перейдите в раздел Параметры Конечные>>точкиОбщие>уведомления> по электронной почтеУязвимости.

  3. Выберите Добавить правило уведомлений.

  4. Присвойтите правилу уведомлений по электронной почте имя и добавьте описание.

  5. Установите флажок Активировать правило уведомлений. Нажмите Далее.

  6. Заполните параметры уведомлений. Затем нажмите кнопку Далее.

    • Если вы используете Defender для конечной точки, выберите группы устройств для получения уведомлений. (Если вы используете Defender для бизнеса, группы устройств не применяются.)

    • Выберите события уязвимости, о которые вы хотите получать уведомления, когда они влияют на вашу организацию:

      • Обнаружена новая уязвимость (включая пороговое значение серьезности)

        Примечание.

        Сюда входят недавно обнаруженные уязвимости нулевого дня и исправления, выпущенные для существующих уязвимостей нулевого дня. Дополнительные сведения см. в разделе Исправление уязвимостей нулевого дня.

      • Эксплойт проверен

      • Новый общедоступный эксплойт

      • Эксплойт добавлен в комплект эксплойтов

    • Добавьте название организации, если вы хотите, чтобы в сообщении электронной почты отображалось название организации.

  7. Введите адрес электронной почты получателя и нажмите кнопку Добавить. Вы можете добавить несколько адресов электронной почты.

  8. Просмотрите параметры нового правила уведомлений по электронной почте и выберите Создать правило , когда вы будете готовы к его созданию.

Изменение правила уведомлений

  1. Выберите правило уведомлений, которое вы хотите изменить.

  2. Нажмите кнопку Изменить правило рядом со значком карандаша во всплывающем элементе. Убедитесь, что у вас есть разрешение на изменение или удаление правила.

Правило уведомления об удалении

  1. Выберите правило уведомлений, которое нужно удалить.

  2. Нажмите кнопку Удалить рядом со значком корзины во всплывающем элементе. Убедитесь, что у вас есть разрешение на изменение или удаление правила.

Устранение неполадок с уведомлениями по электронной почте для оповещений

В этом разделе перечислены различные проблемы, которые могут возникнуть при использовании уведомлений по электронной почте для оповещений.

Проблема: Предполагаемые получатели сообщают, что они не получают уведомления.

Решение: Убедитесь, что уведомления не заблокированы фильтрами электронной почты:

  1. Убедитесь, что уведомления по электронной почте Defender для конечной точки не отправляются в папку Нежелательная почта. Пометьте их как не нежелательные.

  2. Убедитесь, что продукт для обеспечения безопасности электронной почты не блокирует уведомления по электронной почте от Defender для конечной точки.

  3. Проверьте правила приложения электронной почты, которые могут перехватывать и перемещать уведомления электронной почты Defender для конечной точки.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.