уведомления Защита идентификации Microsoft Entra

Защита идентификации Microsoft Entra отправляет два типа автоматических уведомлений электронной почты, которые помогут вам управлять рисками пользователей и обнаружением рисков:

  • Пользователи в группе риска обнаружили электронную почту
  • Еженедельный дайджест электронной почты

В этой статье рассматриваются оба уведомления по электронной почте.

Примечание.

Мы не поддерживаем отправку сообщений электронной почты пользователям в назначаемых группами ролях.

Пользователи в группе риска обнаружили электронную почту

В ответ на обнаруженную учетную запись, подверженную риску, Защита идентификации Microsoft Entra создает оповещение электронной почты с пользователями, подвергающихся риску, как субъект. Электронное письмо содержит ссылку на отчет Пользователи, отмеченные как опасные. Рекомендуется немедленно исследовать пользователей, которым грозит опасность.

В конфигурации этого оповещения можно указать уровень риска, на котором оно будет создаваться. Сообщение электронной почты создается, когда уровень риска пользователя достигает указанного вами уровня риска. Например, если политика настроена на оповещение о средних рисках пользователей, а оценка риска пользователя Джона перемещается на средний риск из-за риска входа в режиме реального времени, вы получите пользователей с обнаруженным сообщением электронной почты. Если пользователь имеет последующие обнаружения рисков, которые приводят к вычислению уровня риска пользователя заданным уровнем риска (или выше), вы получите больше пользователей, которые подвергаются риску, когда оценка риска пользователя пересчитывается. Например, если оценка риска пользователя выйдет на средний уровень 1 января, вы получите уведомление по электронной почте при условии, что настроено информирование о достижении среднего уровня риска. Если этот же пользователь имеет другое обнаружение рисков 5 января и оценка риска пользователя пересчитывается, но по-прежнему является средним, вы получите другое уведомление по электронной почте.

Дополнительное уведомление по электронной почте отправляется, если время изменения уровня риска пользователя более поздних, чем последнее сообщение электронной почты. Предположим, например, что пользователь входит 1 января в 5:00, и риск в реальном времени не фиксируется (это означает, что из-за этого входа электронное уведомление отправлено не будет). Через десять минут, в 5:10, тот же пользователь снова входит в систему с высоким уровнем риска в реальном времени, вследствие чего уровень его риска становится высоким. В этом случае вам будет отправлено сообщение электронной почты. Затем в 5:15 показатель риска для первоначального входа в систему (в 5:00) меняется на высокий вследствие автономной обработки рисков. Еще одно уведомление по электронной почте о риске пользователя при этом не отправляется, так как первый вход выполнен раньше второго, из-за которого уведомление по электронной почте уже было отправлено.

Чтобы предотвратить перегрузку электронной почты, вы получаете только одну электронную почту в течение 5-секундного периода. Если несколько пользователей перемещаются на указанный уровень риска в течение одного и того же 5-секундного периода времени, мы агрегируем данные и отправим одну электронную почту для всех этих пользователей.

Если ваша организация включила самостоятельное исправление, как описано в статье, взаимодействие с пользователем с Защита идентификации Microsoft Entra есть вероятность того, что пользователь может устранить свой риск, прежде чем у вас есть возможность исследовать. Вы можете увидеть рискованных пользователей и рискованные входы, которые уже были исправлены, добавив "Исправлено" в фильтр состояния риска в отчетах о рискованных пользователях или рискованных входах .

A screenshot showing a sample users at risk detected email.

Настройка оповещений об обнаружении пользователей, совершающих рискованные действия

Как администратор вы можете настроить:

  • Уровень риска пользователя, при котором формируется это письмо. По умолчанию установлено значение High (Высокий).
  • Получатели сообщения электронной почты. По умолчанию это письмо отправляется всем глобальным администраторам, администраторам безопасности и читателям сведений о безопасности. Мы попытаемся отправить сообщения электронной почты первым 20 участникам каждой роли. Если пользователь регистрируется в PIM для повышения до одной из этих ролей по требованию, он получит сообщение электронной почты только в том случае, если повышенные привилегии будут предоставлены ему на момент отправки сообщения.
    • При необходимости можно добавить настраиваемую электронную почту здесь , определенные пользователи должны иметь соответствующие разрешения для просмотра связанных отчетов.

Настройте пользователей, подверженных риску электронной почты, в Центре администрирования Microsoft Entra в разделе> "Пользователи защиты>идентификации" в группе риска обнаруженных оповещений.

Еженедельный дайджест электронной почты

В электронном сообщении еженедельного дайджеста содержится сводка новых обнаружений риска.
Сюда входят:

  • Обнаружены новые пользователи, совершающие рискованные действия
  • обнаруженные новые рискованные входы (в режиме реального времени);
  • ссылки на связанные отчеты в службе защиты идентификации.

A screenshot showing a sample weekly digest email.

По умолчанию это письмо отправляется всем глобальным администраторам, администраторам безопасности и читателям сведений о безопасности. Мы попытаемся отправить сообщения электронной почты первым 20 участникам каждой роли. Если пользователь регистрируется в PIM для повышения до одной из этих ролей по требованию, он получит сообщение электронной почты только в том случае, если повышенные привилегии будут предоставлены ему на момент отправки сообщения.

Настройка еженедельного дайджеста электронной почты

Как администратор вы можете отключить отправку еженедельных дайджестов по электронной почте, а также выбрать их получателей.

Настройте еженедельный дайджест электронной почты в дайджесте Защиты>идентификации>Центра>администрирования Майкрософт.

См. также