Issue:
Normalerweise wird die Warnmeldungs-E-Mail von EDR gesendet, wenn dem Portal eine Erkennung mit der Risikostufe „Schwer“, „Hoch“ und „Mittel“ hinzugefügt wurde. Ist es jedoch möglich, die Warnmeldungs-E-Mail so zu konfigurieren, dass NUR benachrichtigt wird, wenn die Risikostufe „Schwer“ oder „Hoch“ erreicht wurde? Ist es möglich, die E-Mail-Warnmeldungen von EDR zu filtern? Ich möchte nicht viele Warnmeldungs-E-Mails mit niedriges Risiko erhalten, sondern nur mit mittlerem und höherem Risiko. Oder nur mit höherem oder schwerwiegendem Risiko usw.
Resolution:
Über die Registerkarte „Verwaltung“ > „Organisationseinstellungen“ > „Erkennungs- und Reaktionseinstellungen“ können Sie nicht bearbeiten, für welche Klassifizierung EDR-Erkennungen E-Mails gesendet werden.
In diesem Fall müssen Sie diesen Workaround verwenden, um einen E-Mail-Bericht zu generieren, der nur versendet wird, wenn eine Erkennung der Stufe „Hoch“ oder „Schwere“ vorliegt:
- Melden Sie sich beim Elements-Portal an
- Gehen Sie zu „Events“ > „Sicherheits-Events“
- Wenden Sie diese beiden Filter an:
- Quelle gleich EDR
- Schweregrad entspricht erforderlicher Aktion
- Öffnen Sie das Ansichtsmenü in der oberen rechten Ecke und wählen Sie unten im Menü " Speichern unter "
- Geben Sie der Ansicht einen beschreibenden Namen und speichern Sie sie
- Gehen Sie zu Berichte > E-Mail-Benachrichtigung und Bericht
- Klicken Sie auf E-Mail-Bericht hinzufügen
- Geben Sie ihm einen Namen, den Sie in Ihrem E-Mail-Betreff sehen möchten
- Wählen Sie als Datenquelle Sicherheitsereignisse aus.
- Wählen Sie als Vorlage die zuvor erstellte Ansicht aus.
- Konfigurieren Sie Zeitplan und Empfänger (kontinuierlich sendet alle 10 Minuten eine E-Mail, wenn ein neues Ereignis aufgetreten ist)
- Lassen Sie die Option „Nur senden, wenn der Bericht Inhalt hat“ aktiviert.
- Klicken Sie auf Speichern
Dieser Bericht wird gesendet, wenn auf der Seite „Sicherheitsereignisse“ ein Erkennung der Stufe „Hoch“ oder „Gravierend“ angezeigt wird. Leider ist es nicht möglich, E-Mails nur über Ereignisse der Stufe „Gravierend“ zu senden, da auf der Seite „Sicherheitsereignisse“ der Filter „Schweregrad entspricht Aktion erforderlich“ sowohl Ereignisse der Stufe „Hoch“ als auch „Gravierend“ enthält.
Wir werden die Berichts- und E-Mail-Funktionen in diesem Jahr verbessern, dazu gibt es derzeit jedoch noch keine konkrete Schätzung.
Hierbei ist zu beachten, dass beim Versuch, aus diesem neuen Bericht über die Schaltfläche Testbericht senden einen Testbericht zu versenden, die Option Nur senden, wenn Bericht Inhalt hat zunächst temporär deaktiviert werden muss, denn wenn der Bericht keinen Inhalt hat, wird auch der Testbericht nicht versendet.
Hier ist eine ausführlichere Erklärung, warum der Testbericht nicht gesendet wird: https://community.withsecure.com/en/kb/articles/31416-no-test-report-sent-when-security-events-source-is-used-for-elements-email-notification-and-report
Article no: 000029932
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.