Политики оповещений на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В организациях с облачными почтовыми ящиками политики оповещений создают оповещения на панели мониторинга оповещений, когда пользователи выполняют действия, соответствующие условиям политики. Существует множество политик оповещений по умолчанию, которые помогают отслеживать действия. Например, политики оповещений по умолчанию могут отслеживать назначение прав администратора в Exchange Online, атак вредоносных программ, фишинговых кампаний и необычных уровней удаления файлов и внешнего общего доступа.

В этой статье объясняется, как просматривать и создавать политики оповещений на странице политики оповещений на портале Microsoft Defender. Перед началом работы просмотрите предварительные требования для необходимых разрешений.

Что нужно знать перед началом работы

Прежде чем просматривать политики оповещений или управлять ими, ознакомьтесь со следующими предварительными условиями.

  • Прежде чем вы сможете просматривать политики оповещений или управлять ими, вам должны быть назначены соответствующие разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR унифицированное управление доступом на основе ролей (RBAC) (Если Электронная почта & совместная работа>Defender для Office 365 разрешения активен. Влияет только на портал Defender, а не на PowerShell):

      • Доступ только для чтения к странице «Политики оповещений»: Операции безопасности / Данные безопасности / Основные сведения о данных безопасности (чтение).
      • Управление политикамиоповещений: Авторизация и параметры / Параметры безопасности / Настройка обнаружения (управление).
    • Разрешения для электронной почты и совместной работы на портале Microsoft Defender:

      • Создание политик оповещений и управление ими в категории Управление угрозами: Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Просмотр оповещений в категории Управление угрозами : членство в группе ролей Читатель безопасности .
    • разрешения Microsoft Entra. Членство в ролях глобального администратора*, администратора безопасности или читателя системы безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  • Сведения о других категориях политики оповещений см. в разделе Разрешения, необходимые для просмотра оповещений.

Встроенные правила настройки оповещений

Microsoft Defender XDR включает встроенные правила настройки предупреждений, которые помогают снизить уровень информационного шума, вызванного обычной безвредной активностью. Эти встроенные правила подавляют оповещения, не затрагивая другие функции, такие как исследования AIR и Уведомления по электронной почте. Если исследование AIR обнаруживает вредоносные или подозрительные действия, новое оповещение активируется повторно.

Чтобы просмотреть встроенные правила настройки оповещений в портале Microsoft Defender, перейдите в раздел System>Settings>Microsoft Defender XDR>Rules, подраздел >Настройка оповещений, или сразу на страницу Настройка оповещений по адресу https://security.microsoft.com/securitysettings/defender/alert_suppression.

Обязательно ознакомьтесь с этими правилами, чтобы понять, как они могут повлиять на то, какие оповещения отображаются на портале Microsoft Defender.

Примечание.

Агент сортировки фишинга Microsoft Security Copilot не классифицирует оповещения, подавленные с помощью настройки оповещений. Обязательно отключите встроенное правило настройки оповещений Auto-Resolve - письмо, помеченное пользователем как вредоносное или фишинговое, а также все пользовательские правила настройки, подавляющие это оповещение.

Открытие политик оповещений

На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в Электронная почта & совместная работа>Политики & правила>Политика оповещений. Или, чтобы перейти непосредственно на страницу политики оповещений , используйте https://security.microsoft.com/alertpoliciesv2.

На странице Политика оповещений можно просматривать и создавать политики оповещений. Дополнительные сведения см. в статье Политики оповещений в Microsoft 365.