Konfigurace vyloučení detekce identity v Defenderu v Microsoft Defender XDR
Tento článek vysvětluje, jak nakonfigurovat vyloučení detekce Microsoft Defender for Identity v Microsoft Defender XDR.
Microsoft Defender for Identity umožňuje vyloučit konkrétní IP adresy, počítače, domény nebo uživatele z řady detekcí.
Například výstrahu DNS Rekognoskace může aktivovat skener zabezpečení, který používá DNS jako mechanismus kontroly. Vytvoření vyloučení pomáhá Defenderu for Identity takové kontroly ignorovat a omezit falešně pozitivní výsledky.
Poznámka
Místo použití vyloučení doporučujeme vyladit upozornění . Pravidla ladění upozornění umožňují podrobnější podmínky než vyloučení a umožňují kontrolovat vyladěná upozornění.
Poznámka
Z nejběžnějších domén s otevřenou podezřelou komunikací přes výstrahy DNS jsme zaznamenali domény, které zákazníci z výstrahy vyloučili nejvíce. Tyto domény se ve výchozím nastavení přidávají do seznamu vyloučení, ale máte možnost je snadno odebrat.
Postup přidání vyloučení detekce
V Microsoft Defender XDR přejděte na Nastavení a potom Na Identity.
V nabídce vlevo se pak zobrazí vyloučené entity .
Vyloučení pak můžete nastavit dvěma způsoby: Vyloučení podle pravidla detekce a Globální vyloučené entity.
Vyloučení podle pravidla detekce
V nabídce vlevo vyberte Vyloučení podle pravidla detekce. Zobrazí se seznam pravidel detekce.
Pro každou detekci, kterou chcete nakonfigurovat, proveďte následující kroky:
Vyberte pravidlo. Detekce můžete vyhledat pomocí panelu hledání. Po výběru se otevře podokno s podrobnostmi pravidla detekce.
Pokud chcete přidat vyloučení, vyberte tlačítko Vyloučené entity a pak zvolte typ vyloučení. Pro každé pravidlo jsou k dispozici různé vyloučené entity. Patří mezi ně uživatelé, zařízení, domény a IP adresy. V tomto příkladu jsou možnosti Vyloučit zařízení a Vyloučit IP adresy.
Po výběru typu vyloučení můžete přidat vyloučení. V podokně, které se otevře, vyberte + tlačítko a přidejte vyloučení.
Pak přidejte entitu, která má být vyloučena. Vyberte + Přidat a přidejte entitu do seznamu.
Potom vyberte Vyloučit IP adresy (v tomto příkladu) a dokončete vyloučení.
Po přidání vyloučení můžete seznam exportovat nebo je odebrat tak, že se vrátíte k tlačítku Vyloučené entity . V tomto příkladu jsme se vrátili k vyloučení zařízení. Pokud chcete seznam exportovat, vyberte tlačítko se šipkou dolů.
Pokud chcete odstranit vyloučení, vyberte ho a vyberte ikonu koše.
Globální vyloučené entity
Teď můžete také nakonfigurovat vyloučení globálních vyloučených entit. Globální vyloučení umožňují definovat určité entity (IP adresy, podsítě, zařízení nebo domény), které se mají vyloučit ze všech detekcí, které Defender for Identity má. Pokud například vyloučíte zařízení, bude se to vztahovat jenom na ty detekce, které mají identifikaci zařízení jako součást detekce.
V nabídce vlevo vyberte Globální vyloučené entity. Zobrazí se kategorie entit, které můžete vyloučit.
Zvolte typ vyloučení. V tomto příkladu jsme vybrali Možnost Vyloučit domény.
Otevře se podokno, ve kterém můžete přidat doménu, kterou chcete vyloučit. Přidejte doménu, kterou chcete vyloučit.
Doména se přidá do seznamu. Pokud chcete vyloučení dokončit, vyberte Vyloučit domény .
Doména se pak zobrazí v seznamu entit, které se mají vyloučit ze všech pravidel detekce. Seznam můžete exportovat nebo odebrat entity tak, že je vyberete a vyberete tlačítko Odebrat .