配置警报的电子邮件通知

Microsoft Defender for Cloud 允许为警报配置电子邮件通知。 配置电子邮件通知可以将通知及时发送给相应的收件人。 通过修改电子邮件通知设置,可以为触发通知的警报的严重性级别定义首选项。 默认情况下,订阅所有者会收到高严重性警报的电子邮件通知。

使用 Defender for Cloud 的“电子邮件通知”设置页,可以定义通知电子邮件的首选项,包括

  • 应通知的人员 - 可将电子邮件发送给选定的个人或任何具有指定 Azure 订阅角色的人。
  • 应通知他们的内容 - 修改 Defender for Cloud 会发出通知的严重性级别。

显示如何配置接收有关警报和攻击路径的电子邮件的联系人详细信息的屏幕截图。

电子邮件频率

为了避免“警报疲劳”现象,Defender for Cloud 会限制传出电子邮件的数量。 对于每个电子邮件地址,Defender for Cloud 会发送:

警报类型 严重性/风险级别 电子邮件量
Alert 每天四封电子邮件
Alert 每天两封电子邮件
Alert 每天一封电子邮件
攻击路径 严重 每 30 分钟一封电子邮件
攻击路径 每小时一封电子邮件
攻击路径 每两小时一封电子邮件
攻击路径 每三小时一封电子邮件

可用性

所需的角色和权限:“安全管理员”、“订阅所有者”或“参与者”。

在门户中自定义电子邮件通知

可以将电子邮件通知发送给具有特定 Azure 角色的个人或所有用户。

  1. 登录到 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”“环境设置”。

  3. 选择相关订阅。

  4. 选择“电子邮件通知”

  5. 使用以下一个或两个选项定义通知的收件人:

    • 从下拉列表中,选择某个可用角色。
    • 输入用逗号分隔的特定电子邮件地址。 输入的电子邮件地址数量无限制。
  6. 选择通知类型:

    • “在出现具有以下严重性(或更高严重性)的警报时发送通知”并选择严重级别
  7. 选择“保存”。

使用 API 自定义电子邮件通知

还可以通过提供的 REST API 来管理电子邮件通知。 有关完整详细信息,请参阅 SecurityContacts API 文档

这是创建安全联系人配置时 PUT 请求的请求正文示例:

URI:https://management.chinacloudapi.cn/subscriptions/<SubscriptionId>/providers/Microsoft.Security/securityContacts/default?api-version=2020-01-01-preview

{
    "properties": {
        "emails": "admin@contoso.com;admin2@contoso.com",
        "notificationsByRole": {
            "state": "On",
            "roles": ["AccountAdmin", "Owner"]
        },
        "alertNotifications": {
            "state": "On",
            "minimalSeverity": "Medium"
        },
        "phone": ""
    }
}