Del via

Udelad aktiver fra automatiserede svar i forbindelse med automatisk afbrydelse af angreb

  • Artikel
  • Gælder for:
    Microsoft Defender XDR

Denne artikel indeholder oplysninger om, hvordan du udelukker aktiver fra automatisk at blive indeholdt af automatisk afbrydelse af angreb i Microsoft Defender XDR.

Automatisk afbrydelse af angreb muliggør udelukkelse af bestemte brugerkonti, enheder og IP-adresser fra automatiserede indeslutningshandlinger. Når disse aktiver er udelukket, påvirkes de ikke af automatiserede handlinger, der udløses af afbrydelse af angreb.

Forsigtighed

Det anbefales ikke at udelade aktiver fra automatiserede svar. Hvis du udelader aktiver fra automatiserede svar, kan det reducere effektiviteten af automatiske angrebsafbrydelser for at beskytte dit miljø mod avancerede angreb med stor indvirkning.

Forudsætninger

Hvis du vil udelade aktiver fra automatiserede svar i forbindelse med automatisk afbrydelse af angreb, skal du have tildelt en af følgende roller enten i Microsoft Entra ID (https://portal.azure.com) eller i Microsoft 365 Administration (https://admin.microsoft.com):

  • Global administrator
  • Sikkerhedsadministrator

Gennemse eller rediger automatisk udeladelse af svar for aktiver

Hvis du vil udelukke aktiver fra automatiserede svar i forbindelse med automatisk afbrydelse af angreb, skal du følge disse trin:

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.

  2. Gå til Indstillinger>Microsoft Defender XDR.

Udelad brugerkonti

  1. Under Automatiseret svar skal du vælge Identiteter.

  2. Hvis du vil udelade en brugerkonto, skal du vælge Tilføj brugerudeladelse. Der vises en pop op-rude.

    Siden Identiteter i indstillingerne for automatiseret svar for afbrydelse af angreb

  3. I pop op-vinduet skal du angive brugernavnene i feltet Vælg brugere og vælge de brugerkonti, du vil udelade.

    Pop op-rude, når du tilføjer og vælger brugere, der skal udelades, i de automatiserede svarindstillinger for afbrydelse af angreb

  4. Vælg Udelad brugere for at gemme udeladelse.

Udelad enhedsgrupper

Forsigtighed

Hvis du udelader enhedsgrupper fra automatiserede svar, påvirker det også automatiserede undersøgelses- og svarhandlinger .

  1. Under Automatiserede svar skal du vælge Enheder.

  2. Under fanen Enhedsgrupper skal du vælge en enhedsgruppe ved at markere afkrydsningsfeltet ud for gruppenavnet på listen for at konfigurere automatiseringsindstillinger for angrebsforstyrrelse.

    Fanen Enhedsgrupper i indstillingerne for automatiseret svar for afbrydelse af angreb

  3. Vælg det relevante automatiseringsniveau for enhedsgruppen i pop op-ruden. Du kan vælge mellem et af følgende automatiseringsniveauer, der passer til din enhedsgruppe:

    • Fuld – afhjælp trusler automatisk: Indeholder automatisk enheder, når der registreres en trussel.
    • Semi – kræver godkendelse af kernemapper: Undersøg automatisk enheder, når der modtages en besked, og anvend afhjælpningshandlinger undtagen elementer i centrale systemmapper. Afhjælpningshandlinger for kernemapperne kræver godkendelse.
    • Semi – kræver godkendelse for mapper, der ikke er midlertidige: Undersøg og anvend automatisk afhjælpning på handlinger i midlertidige mapper og downloadmapper, når der modtages en besked. Alle andre afhjælpningshandlinger kræver godkendelse.
    • Semi – kræver godkendelse for alle mapper: Undersøg automatisk enheder, når der modtages en besked. Alle afhjælpningshandlinger kræver godkendelse.
    • Intet automatiseret svar: Der udføres ingen automatiseret undersøgelse eller svar for enheder i denne gruppe.

    Pop op-rude, når du konfigurerer automatiseringsniveauer for en enhedsgruppe

  4. Vælg Gem for at gemme automatiseringsniveauet for enhedsgruppen.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et forududgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Udelad IP-adresser

  1. Under Automatiserede svar skal du vælge Enheder.

  2. Under fanen IP-adresser skal du vælge Udelad IP for at udelade en IP-adresse.

    Fanen IP-adresser i indstillingerne for automatiseret svar for afbrydelse af angreb

  3. Angiv den IP-adresse/DET IP-område/det IP-undernet, du vil udelade, i pop op-ruden. Du kan tilføje flere IP-adresser og IP-undernet ved at adskille dem med et komma.

    Pop op-rude, når du tilføjer IP-adresser, der skal udelades, i de automatiserede svarindstillinger for afbrydelse af angreb

  4. Tilføj et navn og en note til udeladelse. Vælg Opret for at gemme udeladelse.

Fjern udeladelser

Sådan fjerner du en udeladelse:

  • Gå til siden Identiteter . Vælg den brugerkonto, du vil fjerne fra listen, og vælg derefter Fjern.

Fremhævning af fjernelsesindstillingen, når du fjerner en udeladt bruger på siden Identiteter for automatiseringsindstillinger for angrebsafbrydelser

  • Gå til siden Enheder, og naviger til fanen IP-adresser . Vælg den IP-adresse, du vil fjerne fra listen, og vælg derefter Fjern udeladelse.

Fremhævning af fjernelsesindstillingen, når du fjerner en udeladt IP-adresse under fanen IP under automatiseringsindstillinger for angrebsafbrydelser

  • Udeladelser fra enhedsgrupper kan konfigureres under fanen Enhedsgrupper . Vælg den enhedsgruppe, du vil konfigurere, på listen, og vælg den relevante udeladelse i pop op-ruden. Vælg Gem for at gemme udeladelse.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.