Sdílet prostřednictvím

Vyloučení prostředků z automatizovaných odpovědí při automatickém přerušení útoku

  • Článek
  • Platí pro:
    Microsoft Defender XDR

Tento článek obsahuje informace o tom, jak vyloučit prostředky z automatického omezení automatickým přerušením útoku v Microsoft Defender XDR.

Automatické přerušení útoku umožňuje vyloučení konkrétních uživatelských účtů, zařízení a IP adres z automatizovaných akcí omezení. Po vyloučení nebudou tyto prostředky ovlivněny automatizovanými akcemi aktivovanými přerušením útoku.

Upozornění

Vyloučení prostředků z automatizovaných odpovědí se nedoporučuje. Vyloučení prostředků z automatizovaných odpovědí může snížit efektivitu automatického přerušení útoků při ochraně vašeho prostředí před sofistikovanými útoky s vysokým dopadem.

Požadavky

Pokud chcete vyloučit prostředky z automatizovaných odpovědí při automatickém přerušení útoku, musíte mít přiřazenou jednu z následujících rolí v Microsoft Entra ID (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com):

  • Globální správce
  • Správce zabezpečení

Kontrola nebo změna vyloučení automatizovaných odpovědí pro prostředky

Pokud chcete vyloučit prostředky z automatizovaných odpovědí při automatickém přerušení útoku, postupujte takto:

  1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.

  2. Přejděte na Nastavení>Microsoft Defender XDR.

Vyloučení uživatelských účtů

  1. V části Automatizovaná odpověď vyberte Identity.

  2. Pokud chcete vyloučit uživatelský účet, vyberte Přidat vyloučení uživatele. Zobrazí se kontextové podokno.

    Stránka Identit v nastavení automatizované odpovědi na přerušení útoku

  3. V podokně informačního rámečku zadejte názvy uživatelských účtů do pole Vybrat uživatele a vyberte uživatelské účty, které chcete vyloučit.

    Podokno informačního rámečku při přidávání a výběru uživatelů, kteří se mají vyloučit v nastavení automatické odpovědi pro přerušení útoku

  4. Výběrem možnosti Vyloučit uživatele vyloučení uložte.

Vyloučení skupin zařízení

Upozornění

Vyloučení skupin zařízení z automatizovaných odpovědí má také vliv na automatizované šetření a akce odpovědí .

  1. V části Automatizované odpovědi vyberte Zařízení.

  2. Na kartě Skupiny zařízení vyberte skupinu zařízení tak, že v seznamu zaškrtnete políčko vedle názvu skupiny a nakonfigurujete nastavení automatizace přerušení útoku.

    Karta Skupiny zařízení v nastavení automatizované odpovědi pro přerušení útoku

  3. V podokně informačního rámečku vyberte odpovídající úroveň automatizace pro skupinu zařízení. Můžete si vybrat z následujících úrovní automatizace vhodných pro vaši skupinu zařízení:

    • Úplné – automaticky napravit hrozby: Automaticky obsahovat zařízení při zjištění hrozby.
    • Polo – vyžadování schválení pro základní složky: Automaticky prošetřujte zařízení při přijetí upozornění a použijte nápravné akce s výjimkou položek v základních systémových složkách. Akce nápravy pro základní složky vyžadují schválení.
    • Polo – vyžadování schválení pro jiné než dočasné složky: Automaticky prošetřovat a aplikovat nápravu na akce v rámci dočasných složek a stahování při přijetí výstrahy. Všechny ostatní nápravné akce vyžadují schválení.
    • Polo – vyžadovat schválení pro všechny složky: Automaticky prošetřovat zařízení při přijetí výstrahy. Všechny nápravné akce vyžadují schválení.
    • Žádná automatizovaná odpověď: Pro zařízení v této skupině se neprovedou žádné automatizované šetření ani reakce.

    Podokno informačního rámečku při konfiguraci úrovní automatizace pro skupinu zařízení

  4. Vyberte Uložit a uložte úroveň automatizace pro skupinu zařízení.

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané s ohledem na zde uvedené informace.

Vyloučit IP adresy

  1. V části Automatizované odpovědi vyberte Zařízení.

  2. Na kartě IP adresy vyberte Vyloučit IP adresu a vyloučíte ip adresu.

    Karta IP adresy v nastavení automatizované odpovědi pro přerušení útoku

  3. V podokně informačního rámečku zadejte IP adresu, rozsah IP adres nebo podsíť PROTOKOLU IP, kterou chcete vyloučit. Můžete přidat více IP adres a podsítí IP tak, že je oddělíte čárkou.

    Podokno informačního rámečku při přidávání IP adres, které se mají vyloučit v nastavení automatizované odpovědi pro přerušení útoku

  4. Přidejte název a poznámku pro vyloučení. Kliknutím na Vytvořit vyloučení uložte.

Odebrat vyloučení

Odebrání vyloučení:

  • Přejděte na stránku Identity . V seznamu vyberte uživatelský účet, který chcete odebrat, a pak vyberte Odebrat.

Zvýraznění možnosti odebrání při odebrání vyloučeného uživatele na stránce Identity of attack disruption automation settings

  • Přejděte na stránku Zařízení a přejděte na kartu IP adresy . Vyberte IP adresu, kterou chcete ze seznamu odebrat, a pak vyberte Odebrat vyloučení.

Zvýraznění možnosti odebrání při odebrání vyloučené IP adresy na kartě IP v nastavení automatizace přerušení útoku

  • Vyloučení skupin zařízení je možné nakonfigurovat na kartě Skupiny zařízení . V seznamu vyberte skupinu zařízení, kterou chcete nakonfigurovat, a v rozevíracím podokně zvolte příslušné vyloučení. Kliknutím na Uložit vyloučení uložte.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.