Sdílet prostřednictvím


Konfigurace vyloučení detekce identity v Defenderu v Microsoft Defender XDR

Tento článek vysvětluje, jak nakonfigurovat vyloučení detekce Microsoft Defender for Identity v Microsoft Defender XDR.

Microsoft Defender for Identity umožňuje vyloučit konkrétní IP adresy, počítače, domény nebo uživatele z řady detekcí.

Například výstrahu DNS Rekognoskace může aktivovat skener zabezpečení, který používá DNS jako mechanismus kontroly. Vytvoření vyloučení pomáhá Defenderu for Identity takové kontroly ignorovat a omezit falešně pozitivní výsledky.

Poznámka

Místo použití vyloučení doporučujeme vyladit upozornění . Pravidla ladění upozornění umožňují podrobnější podmínky než vyloučení a umožňují kontrolovat vyladěná upozornění.

Poznámka

Z nejběžnějších domén s otevřenou podezřelou komunikací přes výstrahy DNS jsme zaznamenali domény, které zákazníci z výstrahy vyloučili nejvíce. Tyto domény se ve výchozím nastavení přidávají do seznamu vyloučení, ale máte možnost je snadno odebrat.

Postup přidání vyloučení detekce

  1. V Microsoft Defender XDR přejděte na Nastavení a potom Na Identity.

    Přejděte na Nastavení a pak Na Identity.

  2. V nabídce vlevo se pak zobrazí vyloučené entity .

    Vyloučené entity.

    Vyloučení pak můžete nastavit dvěma způsoby: Vyloučení podle pravidla detekce a Globální vyloučené entity.

Vyloučení podle pravidla detekce

  1. V nabídce vlevo vyberte Vyloučení podle pravidla detekce. Zobrazí se seznam pravidel detekce.

    Vyloučení podle pravidla detekce.

  2. Pro každou detekci, kterou chcete nakonfigurovat, proveďte následující kroky:

    1. Vyberte pravidlo. Detekce můžete vyhledat pomocí panelu hledání. Po výběru se otevře podokno s podrobnostmi pravidla detekce.

      Podrobnosti pravidla detekce

    2. Pokud chcete přidat vyloučení, vyberte tlačítko Vyloučené entity a pak zvolte typ vyloučení. Pro každé pravidlo jsou k dispozici různé vyloučené entity. Patří mezi ně uživatelé, zařízení, domény a IP adresy. V tomto příkladu jsou možnosti Vyloučit zařízení a Vyloučit IP adresy.

      Vylučte zařízení nebo IP adresy.

    3. Po výběru typu vyloučení můžete přidat vyloučení. V podokně, které se otevře, vyberte + tlačítko a přidejte vyloučení.

      Přidejte vyloučení.

    4. Pak přidejte entitu, která má být vyloučena. Vyberte + Přidat a přidejte entitu do seznamu.

      Přidejte entitu, která má být vyloučena.

    5. Potom vyberte Vyloučit IP adresy (v tomto příkladu) a dokončete vyloučení.

      Vylučte IP adresy.

    6. Po přidání vyloučení můžete seznam exportovat nebo je odebrat tak, že se vrátíte k tlačítku Vyloučené entity . V tomto příkladu jsme se vrátili k vyloučení zařízení. Pokud chcete seznam exportovat, vyberte tlačítko se šipkou dolů.

      Vraťte se k vyloučení zařízení.

    7. Pokud chcete odstranit vyloučení, vyberte ho a vyberte ikonu koše.

      Odstranění vyloučení

Globální vyloučené entity

Teď můžete také nakonfigurovat vyloučení globálních vyloučených entit. Globální vyloučení umožňují definovat určité entity (IP adresy, podsítě, zařízení nebo domény), které se mají vyloučit ze všech detekcí, které Defender for Identity má. Pokud například vyloučíte zařízení, bude se to vztahovat jenom na ty detekce, které mají identifikaci zařízení jako součást detekce.

  1. V nabídce vlevo vyberte Globální vyloučené entity. Zobrazí se kategorie entit, které můžete vyloučit.

    Globální vyloučené entity

  2. Zvolte typ vyloučení. V tomto příkladu jsme vybrali Možnost Vyloučit domény.

    Vylučte domény.

  3. Otevře se podokno, ve kterém můžete přidat doménu, kterou chcete vyloučit. Přidejte doménu, kterou chcete vyloučit.

    Přidejte doménu, která má být vyloučena.

  4. Doména se přidá do seznamu. Pokud chcete vyloučení dokončit, vyberte Vyloučit domény .

    Vyberte vyloučit domény.

  5. Doména se pak zobrazí v seznamu entit, které se mají vyloučit ze všech pravidel detekce. Seznam můžete exportovat nebo odebrat entity tak, že je vyberete a vyberete tlačítko Odebrat .

    Seznam globálních vyloučených položek

Další kroky