在 Microsoft Defender XDR 中配置警报通知

适用于:

可以将 Microsoft Defender XDR 配置为向指定的收件人发送电子邮件通知以获取新警报。 此功能使你能够识别一组将立即获得通知的个人,并可以根据警报的严重性对警报采取行动。

如果使用 Defender for Business,则可以为特定用户设置电子邮件通知, (而不是) 的角色或组。

注意

  • 只有具有“管理安全设置”权限的用户才能配置电子邮件通知。 如果选择使用基本权限管理,则具有安全管理员或全局管理员角色的用户可以配置电子邮件通知。
  • Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

可以设置触发通知的警报严重性级别。 还可以添加或删除电子邮件通知的收件人。 新收件人会收到有关添加后触发的警报的通知。 有关警报的详细信息,请参阅 查看和组织警报队列

如果使用基于角色的访问控制 (RBAC) ,则收件人将仅接收基于通知规则中配置的设备组的通知。 具有适当权限的用户只能创建、编辑或删除仅限于其设备组管理范围的通知。 只有分配到全局管理员角色的用户才能管理为所有设备组配置的通知规则。

注意

Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。

电子邮件通知包括有关警报的基本信息以及可在其中执行进一步调查的门户链接。

创建警报通知规则

可以创建规则来确定设备和警报严重性,以便为和通知收件人发送电子邮件通知。

  1. 转到 Microsoft Defender XDR ,并使用分配有安全管理员或全局管理员角色的帐户登录。

  2. 在导航窗格中,选择 “设置>终结点>常规>电子邮件通知”。

  3. 单击“ 添加项”。

  4. 指定常规信息:

    • 规则名称 - 指定通知规则的名称。

    • 包括组织名称 - 指定电子邮件通知上显示的客户名称。

    • 包括特定于租户的门户链接 - 添加包含租户 ID 的链接,以允许访问特定租户。

    • 包括设备信息 - 在电子邮件警报正文中包含设备名称。

      注意

      此信息可能由不在为 Defender 数据选择的地理位置的收件人邮件服务器处理。

    • 设备 - 选择是通知收件人所有设备上的警报, (仅) 全局管理员角色,还是在所选设备组上通知收件人。 有关详细信息,请参阅 创建和管理设备组。 (如果使用 Defender for Business,则设备组不适用。)

    • 警报严重性 - 选择警报严重性级别。

  5. 单击下一个

  6. 输入收件人的电子邮件地址,然后单击“ 添加收件人”。 可添加多个电子邮件地址。

  7. 选择“ 发送测试电子邮件”,检查电子邮件收件人是否可以接收电子邮件通知。

  8. 单击“ 保存通知规则”。

编辑通知规则

  1. 选择要编辑的通知规则。

  2. 更新“常规”和“收件人”选项卡信息。

  3. 单击“ 保存通知规则”。

删除通知规则

  1. 选择要删除的通知规则。

  2. 单击“删除”

排查警报的电子邮件通知问题

本部分列出了使用电子邮件通知进行警报时可能遇到的各种问题。

问题: 预期收件人报告他们未收到通知。

溶液: 确保电子邮件筛选器未阻止通知:

  1. 检查电子邮件通知是否未发送到“垃圾邮件”文件夹。 将它们标记为非垃圾邮件。
  2. 检查电子邮件安全产品是否未阻止电子邮件通知。
  3. 检查可能正在捕获和移动电子邮件通知的电子邮件应用程序规则。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区