Microsoft Defender XDR теперь располагает новой системой настройки оповещений, которая помогает управлять очередями инцидентов и оповещений для центров безопасности (SOC). Эта функция, перешедшая сегодня из предварительной фазы в активную, поможет администраторам автоматизировать процесс сортировки оповещений низкой степени серьезности, чтобы сократить ручную нагрузку.
Внедрение этой функции последовало за периодом рассмотрения и отказа, начавшимся 25 января 2026 года, который предоставил администраторам время для изучения логики перед вступлением правил в силу. Поскольку этот период теперь завершен, рассматривать их перед развертыванием уже поздно. Если ваша команда испытывала трудности с оповещениями, эта новая функция поможет отсеять то, что может быть обработано автоматически.
Microsoft начинает с 12 первоначальных правил, которые специально нацелены на оповещения Microsoft Defender for Office 365 (MDO). Эти правила помогут аналитикам безопасности расставить приоритеты для важных угроз, подавляя менее важные уведомления, которые часто загромождают панели мониторинга.
Правила охватывают 12 типов оповещений MDO, включая сообщения пользователей о нежелательной почте или вредоносных программах, запросы на выпуск сообщений из карантина и уведомления относительно списка разрешенных/заблокированных объектов в клиенте. Эти оповещения классифицируются как «информационные» или «низкой степени серьезности», поэтому они являются идеальными кандидатами для этого первоначального развертывания.
Microsoft решила интегрировать эту новую функцию с плейбуками автоматизированного расследования и реагирования (AIR), которые могут запускать фоновые расследования для выбранных оповещений. Если эти автоматизированные проверки обнаружат, что угроза требует вмешательства человека, оповещение автоматически переоткрывается со статусом «Новое», чтобы оно вернулось в очередь аналитика.
Редмондский гигант заявил, что охват настройки оповещений будет расширен за пределы Office 365 и в будущих обновлениях будет включать другие рабочие нагрузки Defender XDR. Организации получат предупреждение об этом, чтобы они могли просмотреть изменения до их вступления в силу.
Предприятия, работающие с несколькими средами, теперь могут использовать портал Multi-Tenant Management (MTO) для настройки этих параметров в масштабе. Он позволяет администраторам устанавливать конфигурацию в исходном клиенте и распространять эти настройки на все управляемые клиенты для обеспечения единообразия.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill
