Få incidentaviseringar via e-post i Microsoft Defender XDR

Gäller för:

  • Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Du kan konfigurera Microsoft Defender XDR för att meddela personalen via e-post om nya incidenter eller uppdateringar av befintliga incidenter. Du kan välja att få meddelanden baserat på:

  • Allvarlighetsgrad för aviseringar
  • Aviseringskällor
  • Enhetsgrupp

Välj att endast ta emot e-postaviseringar för en specifik tjänstkälla: Du kan enkelt välja specifika tjänstkällor som du vill få e-postaviseringar för.

Få mer kornighet med specifika identifieringskällor: Du kan bara få meddelanden för en specifik identifieringskälla.

Ange allvarlighetsgrad per identifiering eller tjänstkälla: Du kan välja att endast få e-postaviseringar med specifika allvarlighetsgrad per källa. Du kan till exempel få aviseringar om Medel och Hög för EDR och alla allvarlighetsgrad för Microsoft Defender-experter.

E-postmeddelandet innehåller viktig information om incidenten, till exempel incidentnamn, allvarlighetsgrad och kategorier. Du kan också gå direkt till incidenten och starta analysen direkt. Mer information finns i Undersöka incidenter.

Du kan lägga till eller ta bort mottagare i e-postaviseringar. Nya mottagare meddelas om incidenter när de har lagts till.

Obs!

Du behöver behörigheten Hantera säkerhetsinställningar för att konfigurera e-postaviseringsinställningar. Om du har valt att använda grundläggande behörighetshantering kan användare med rollen Säkerhetsadministratör eller Global administratör konfigurera e-postaviseringar.

På samma sätt, om din organisation använder rollbaserad åtkomstkontroll (RBAC), kan du bara skapa, redigera, ta bort och ta emot meddelanden baserat på enhetsgrupper som du har behörighet att hantera.

Obs!

Microsoft rekommenderar att du använder roller med färre behörigheter för bättre säkerhet. Rollen Global administratör, som har många behörigheter, bör endast användas i nödsituationer när ingen annan roll passar.

Skapa en regel för e-postaviseringar

Följ de här stegen för att skapa en ny regel och anpassa inställningar för e-postaviseringar.

  1. Gå till Microsoft Defender XDR i navigeringsfönstret och välj Inställningar > e-postaviseringar för Microsoft Defender XDR-incident>.

  2. Välj Lägg till objekt.

  3. På sidan Grundläggande skriver du regelnamnet och en beskrivning och väljer sedan Nästa.

  4. På sidan Meddelandeinställningar konfigurerar du:

    • Allvarlighetsgrad för avisering – Välj de allvarlighetsgrad för aviseringar som utlöser ett incidentmeddelande. Om du till exempel bara vill få information om incidenter med hög allvarlighetsgrad väljer du Hög.
    • Omfång för enhetsgrupp – Du kan ange alla enhetsgrupper eller välja från listan över enhetsgrupper i din klientorganisation.
    • Skicka bara ett meddelande per incident – Välj om du vill ha ett meddelande per incident.
    • Inkludera organisationsnamn i e-postmeddelandet – Välj om du vill att organisationens namn ska visas i e-postmeddelandet.
    • Inkludera klientspecifik portallänk – Välj om du vill lägga till en länk med klientorganisations-ID:t i e-postmeddelandet för åtkomst till en specifik Microsoft 365-klientorganisation.

    Skärmbild av sidan Meddelandeinställningar för e-postaviseringar för incidenter i Microsoft Defender-portalen.

  5. Välj Nästa. På sidan Mottagare lägger du till de e-postadresser som ska ta emot incidentaviseringar. Välj Lägg till när du har skrivit varje ny e-postadress. Om du vill testa meddelanden och se till att mottagarna tar emot dem i inkorgarna väljer du Skicka testmeddelande.

  6. Välj Nästa. På sidan Granska regel granskar du inställningarna för regeln och väljer sedan Skapa regel. Mottagarna börjar få incidentaviseringar via e-post baserat på inställningarna.

Om du vill redigera en befintlig regel väljer du den i listan med regler. I fönstret med regelnamnet väljer du Redigera regel och gör ändringarna på sidorna Grundinställningar, Meddelandeinställningar och Mottagare .

Om du vill ta bort en regel väljer du den i listan med regler. I fönstret med regelnamnet väljer du Ta bort.

När du har fått meddelandet kan du gå direkt till incidenten och starta din undersökning direkt. Mer information om hur du undersöker incidenter finns i Undersöka incidenter i Microsoft Defender XDR.

Nästa steg

Se även