Настройка оповещений в XDR в Microsoft Defender

Область применения:

Вы можете настроить XDR в Microsoft Defender для отправки уведомлений по электронной почте указанным получателям для новых оповещений. Эта функция позволяет определить группу лиц, которые будут немедленно проинформированы и могут реагировать на оповещения в зависимости от их серьезности.

Если вы используете Defender для бизнеса, вы можете настроить уведомления по электронной почте для определенных пользователей (не ролей или групп).

Примечание.

  • Только пользователи с разрешениями "Управление параметрами безопасности" могут настраивать уведомления по электронной почте. Если вы решили использовать базовое управление разрешениями, пользователи с ролями "Администратор безопасности" или "Глобальный администратор" могут настраивать уведомления по электронной почте.
  • Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Можно задать уровни серьезности оповещений, которые активируют уведомления. Вы также можете добавить или удалить получателей уведомления по электронной почте. Новые получатели получают уведомления об оповещениях, активированных после их добавления. Дополнительные сведения об оповещениях см. в разделе Просмотр и упорядочение очереди оповещений.

Если вы используете управление доступом на основе ролей (RBAC), получатели будут получать уведомления только на основе групп устройств, настроенных в правиле уведомлений. Пользователи с соответствующим разрешением могут создавать, изменять или удалять только уведомления, ограниченные областью управления группами устройств. Только пользователи, назначенные роли глобального администратора, могут управлять правилами уведомлений, настроенными для всех групп устройств.

Примечание.

Корпорация Майкрософт рекомендует использовать роли с меньшим количеством разрешений для повышения безопасности. Роль глобального администратора, которая имеет много разрешений, должна использоваться только в чрезвычайных ситуациях, когда другая роль не подходит.

Уведомление по электронной почте содержит основные сведения об оповещении и ссылку на портал, где можно провести дальнейшее исследование.

Создание правил для уведомлений об оповещениях

Вы можете создать правила, определяющие устройства и серьезность оповещений для отправки уведомлений по электронной почте и получателей уведомлений.

  1. Перейдите в XDR в Microsoft Defender и войдите с помощью учетной записи с назначенной ролью администратора безопасности или глобального администратора.

  2. В области навигации выберите Параметры Конечные>>точкиОбщие>уведомления по электронной почте.

  3. Щелкните Добавить элемент.

  4. Укажите общие сведения:

    • Имя правила — укажите имя правила уведомлений.

    • Включить название организации . Укажите имя клиента, которое отображается в уведомлении по электронной почте.

    • Включить ссылку на портал для конкретного клиента . Добавляет ссылку с идентификатором клиента, чтобы разрешить доступ к конкретному клиенту.

    • Включить сведения об устройстве . Включает имя устройства в текст оповещения по электронной почте.

      Примечание.

      Эти сведения могут обрабатываться почтовыми серверами получателей, которые не находятся в географическом расположении, выбранном для данных Defender.

    • Устройства . Выберите, следует ли уведомлять получателей об оповещениях на всех устройствах (только роль глобального администратора) или в выбранных группах устройств. Дополнительные сведения см. в статье Создание групп устройств и управление ими. (Если вы используете Defender для бизнеса, группы устройств не применяются.)

    • Уровень серьезности оповещений — выберите уровень серьезности оповещений.

  5. Нажмите кнопку Далее.

  6. Введите адрес электронной почты получателя и нажмите кнопку Добавить получателя. Вы можете добавить несколько адресов электронной почты.

  7. Убедитесь, что получатели электронной почты могут получать уведомления по электронной почте, выбрав Отправить тестовое сообщение электронной почты.

  8. Щелкните Сохранить правило уведомления.

Изменение правила уведомлений

  1. Выберите правило уведомлений, которое вы хотите изменить.

  2. Обновите сведения на вкладках Общие и Получатель.

  3. Щелкните Сохранить правило уведомления.

Правило уведомления об удалении

  1. Выберите правило уведомлений, которое нужно удалить.

  2. Нажмите кнопку Удалить.

Устранение неполадок с уведомлениями по электронной почте для оповещений

В этом разделе перечислены различные проблемы, которые могут возникнуть при использовании уведомлений по электронной почте для оповещений.

Проблема: Предполагаемые получатели сообщают, что они не получают уведомления.

Решение: Убедитесь, что уведомления не заблокированы фильтрами электронной почты:

  1. Убедитесь, что уведомления по электронной почте не отправляются в папку Нежелательная почта. Пометьте их как не нежелательные.
  2. Убедитесь, что ваш продукт для обеспечения безопасности электронной почты не блокирует уведомления по электронной почте.
  3. Проверьте правила приложения электронной почты, которые могут перехватывать и перемещать уведомления по электронной почте.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.