Issue:
通常、EDR からのアラート通知メールは、リスク レベルが「重大」、「高」、「中」の検出がポータルに追加されたときに送信されますが、「重大」または「高」のリスク レベルが発生したときにのみ通知されるようにアラート メールを構成することはできますか? EDR からのメール アラートをフィルターすることはできますか?リスク(低)のアラート メールを大量に受信するのではなく、中リスク以上のアラート メールだけを受信したいです。または、高リスクまたは重大などだけを受信したいです。
Resolution:
[管理] > [組織設定] > [検出と応答] 設定タブでは、どの分類の EDR 検出によって電子メールが送信されるかを編集することはできません。
この場合、次の回避策を使用して、高または重大レベルの検出があった場合にのみ送信される電子メール レポートを生成する必要があります。
- Elementsポータルにログイン
- イベント>セキュリティイベントへ移動
- 次の 2 つのフィルターを適用します。
- 右上隅の表示メニューを開き、メニューの下部にある「名前を付けて保存」を選択します。
- ビューにわかりやすい名前を付けて保存します
- レポート>メール通知とレポートに移動します
- メールレポートの追加をクリック
- メールの件名に表示したい名前を付けます
- データソースにはセキュリティイベントを選択します。
- テンプレートには、以前に作成したビューを選択します
- スケジュールと受信者を設定します(新しいイベントが発生した場合、10 分ごとに継続的にメールを送信します)
- レポートにコンテンツがある場合にのみ送信するトグルを有効のままにします
- 保存をクリック
このレポートは、セキュリティ イベントページに高レベルまたは重大レベルの検出が表示されるたびに送信されます。残念ながら、セキュリティ イベントページの重大度が「アクションが必要」フィルターに高レベルと重大レベルの両方の検出が含まれるため、重大レベルの検出についてのみ電子メールを送信するように選択することはできません。
今年はレポート機能とメール機能を改善する予定ですが、現時点では具体的な見積もりはありません。
ここで、「テスト レポートの送信」ボタンを使用して新しいレポートからテスト レポートを送信しようとしている場合は、レポートにコンテンツがない場合、テスト レポートも送信されないため、最初に「レポートにコンテンツがある場合にのみ送信」を一時的に無効にする必要があることに注意してください。
テストレポートが送信されない理由の詳細な説明は次のとおりです: https://community.withsecure.com/en/kb/articles/31416-no-test-report-sent-when-security-events-source-is-used-for-elements-email-notification-and-report
Article no: 000029932
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.