Политики оповещений на портале Microsoft Defender

В организациях с облачными почтовыми ящиками политики оповещений создают оповещения на панели мониторинга оповещений, когда пользователи выполняют действия, соответствующие условиям политики. Существует множество политик оповещений по умолчанию, которые помогают отслеживать действия. Например, назначение прав администратора в Exchange Online, атаки с вредоносными программами, фишинговые кампании и необычные уровни удаления файлов и внешнего общего доступа.

Что нужно знать перед началом работы

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell:

    • Доступ только для чтения на странице Политики оповещений: Операции безопасности/ Данные безопасности / Основы данных безопасности (чтение).
    • Управление политикамиоповещений: Авторизация и параметры / Параметры безопасности / Настройка обнаружения (управление).

  • Email & разрешения на совместную работу на портале Microsoft Defender:

    • Создание политик оповещений и управление ими в категории Управление угрозами: Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Просмотр оповещений в категории Управление угрозами : членство в группе ролей Читатель безопасности .

  • разрешения Microsoft Entra. Членство в ролях глобального администратора^*, администратора безопасности или читателя системы безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

• Сведения о других категориях политики оповещений см. в разделе Разрешения, необходимые для просмотра оповещений.

Встроенные правила настройки оповещений

Microsoft Defender XDR включает встроенные правила настройки оповещений, которые помогают снизить уровень шума от общих неопасных действий. Эти встроенные правила подавляют оповещения, не затрагивая другие функции, такие как исследования AIR и Уведомления по электронной почте. Если исследование AIR обнаруживает вредоносные или подозрительные действия, новое оповещение активируется повторно.

Чтобы просмотреть встроенные правила настройки оповещений на портале Microsoft Defender, перейдите в раздел > Параметры системы>Microsoft Defender XDR>Rulesнастройка оповещений или непосредственно на странице Настройка оповещений> по адресу https://security.microsoft.com/securitysettings/defender/alert_suppression.

Обязательно ознакомьтесь с этими правилами, чтобы понять, как они могут повлиять на то, какие оповещения отображаются на портале Microsoft Defender.

Открытие политик оповещений

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите Email & политики совместной работы>& правила>Политика оповещений. Или, чтобы перейти непосредственно на страницу политики оповещений , используйте https://security.microsoft.com/alertpoliciesv2.

На странице Политика оповещений можно просматривать и создавать политики оповещений. Дополнительные сведения см. в статье Политики оповещений в Microsoft 365.