Issue:
Normalt kommer varningsmeddelandet från EDR att skickas när en upptäckt med risknivån "Svår", "Hög" och "Medium" har lagts till i portalen, men är det möjligt att konfigurera varningsmailet som ENDAST blir meddelas när "Svår" eller "hög" risknivå har inträffat? Är det möjligt att filtrera e-postvarningarna som kommer från EDR? Jag vill inte få många varningsmeddelanden med låg risk , utan bara medium och högre. Eller bara högre eller svår osv.
Resolution:
Från fliken Hantering > Organisationsinställningar > Inställningar för upptäckt och svar är det inte möjligt att redigera vilken klassificering EDR-detektioner skulle skicka e-post.
I det här fallet måste du använda den här lösningen för att generera en e-postrapport som bara går när det finns upptäckt av hög eller allvarlig nivå:
- Logga in på Elements-portalen
- Gå till Händelser > Säkerhetshändelser
- Använd dessa två filter:
- Källa är lika med EDR
- Allvarlighet är lika med åtgärd krävs
- Öppna vymenyn i det övre högra hörnet och välj " Spara som " längst ned i menyn
- Ge vyn ett beskrivande namn och spara den
- Gå till Rapporter > E-postavisering och rapportera
- Klicka på Lägg till e-postrapport
- Ge det ett namn som du vill se i ditt e-postämne
- Välj Säkerhetshändelser för Datakälla
- För mall välj vyn du skapade tidigare
- Konfigurera schema och mottagare (kontinuerligt skickar e-post var tionde minut om en ny händelse har dykt upp)
- Lämna bara Skicka när rapporten har innehållsväxling aktiverad
- Klicka på Spara
Den här rapportrapporten skickas när hög- eller allvarlig upptäckt visas på sidan för säkerhetshändelser . Tyvärr är det inte möjligt att välja att bara skicka e-postmeddelanden om upptäckter av allvarliga nivåer, för på sidan Säkerhetshändelser innehåller filtret Allvarlighet är lika med Åtgärd behövs både upptäckter på hög och allvarlig nivå.
Vi kommer att förbättra dessa rapporterings- och e-postfunktioner i år, men det finns ingen specifik uppskattning för närvarande.
Här måste du notera att om du försöker skicka en testrapport från den nya rapporten med knappen Skicka testrapport, kom ihåg att först tillfälligt inaktivera Skicka endast när rapporten har innehåll , för om det inte finns något innehåll i rapporten, kommer testet rapport skickas inte heller.
Här är en mer detaljerad förklaring till varför testrapporten inte skickas: https://community.withsecure.com/en/kb/articles/31416-no-test-report-sent-when-security-events-source- används-för-element-e-postmeddelande-och-rapport
Article no: 000029932
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.