Freigeben über

Konfigurieren von Defender for Identity-Erkennungsausschlüssen in Microsoft Defender XDR

  • Artikel

In diesem Artikel wird erläutert, wie Sie Microsoft Defender for Identity Erkennungsausschlüsse in Microsoft Defender XDR konfigurieren.

Microsoft Defender for Identity ermöglicht den Ausschluss bestimmter IP-Adressen, Computer, Domänen oder Benutzer von einer Reihe von Erkennungen.

Beispielsweise könnte eine DNS-Reconnaissance-Warnung von einem Sicherheitsscanner ausgelöst werden, der DNS als Scanmechanismus verwendet. Das Erstellen eines Ausschlusses hilft Defender for Identity, solche Überprüfungen zu ignorieren und falsch positive Ergebnisse zu reduzieren.

Hinweis

Es wird empfohlen, eine Warnung zu optimieren , anstatt Ausschlüsse zu verwenden. Warnungsoptimierungsregeln ermöglichen präzisere Bedingungen als Ausschlüsse und ermöglichen es Ihnen, die warnungen zu überprüfen, die optimiert wurden.

Hinweis

Von den am häufigsten verwendeten Domänen, bei denen verdächtige Kommunikation über DNS-Warnungen geöffnet wurden, haben wir die Domänen beobachtet, die Kunden am meisten von der Warnung ausgeschlossen haben. Diese Domänen werden standardmäßig der Ausschlussliste hinzugefügt, aber Sie haben die Möglichkeit, sie einfach zu entfernen.

Hinzufügen von Erkennungsausschlüssen

  1. Wechseln Sie Microsoft Defender XDR zu Einstellungen und dann Identitäten.

    Wechseln Sie zu Einstellungen und dann zu Identitäten.

  2. Anschließend werden ausgeschlossene Entitäten im linken Menü angezeigt.

    Ausgeschlossene Entitäten.

    Anschließend können Sie Ausschlüsse mit zwei Methoden festlegen: Ausschlüsse nach Erkennungsregel und Global ausgeschlossene Entitäten.

Ausschlüsse nach Erkennungsregel

  1. Wählen Sie im linken Menü Ausschlüsse nach Erkennungsregel aus. Es wird eine Liste der Erkennungsregeln angezeigt.

    Ausschlüsse nach Erkennungsregel.

  2. Führen Sie für jede Erkennung, die Sie konfigurieren möchten, die folgenden Schritte aus:

    1. Wählen Sie die Regel aus. Sie können über die Suchleiste nach Erkennungen suchen. Nach der Auswahl wird ein Bereich mit den Details zur Erkennungsregel geöffnet.

      Details zur Erkennungsregel.

    2. Um einen Ausschluss hinzuzufügen, wählen Sie die Schaltfläche Ausgeschlossene Entitäten und dann den Ausschlusstyp aus. Für jede Regel sind verschiedene ausgeschlossene Entitäten verfügbar. Dazu gehören Benutzer, Geräte, Domänen und IP-Adressen. In diesem Beispiel sind die Optionen Geräte ausschließen und IP-Adressen ausschließen.

      Schließen Sie Geräte oder IP-Adressen aus.

    3. Nachdem Sie den Ausschlusstyp ausgewählt haben, können Sie den Ausschluss hinzufügen. Wählen Sie im daraufhin geöffneten Bereich die + Schaltfläche aus, um den Ausschluss hinzuzufügen.

      Fügen Sie einen Ausschluss hinzu.

    4. Fügen Sie dann die auszuschließende Entität hinzu. Wählen Sie + Hinzufügen aus, um die Entität der Liste hinzuzufügen.

      Fügen Sie eine auszuschließende Entität hinzu.

    5. Wählen Sie dann IP-Adressen ausschließen (in diesem Beispiel) aus, um den Ausschluss abzuschließen.

      IP-Adressen ausschließen.

    6. Nachdem Sie Ausschlüsse hinzugefügt haben, können Sie die Liste exportieren oder die Ausschlüsse entfernen, indem Sie zur Schaltfläche Ausgeschlossene Entitäten zurückkehren. In diesem Beispiel haben wir zu Geräte ausschließen zurückgegeben. Um die Liste zu exportieren, wählen Sie die Nach-unten-Schaltfläche aus.

      Kehren Sie zu Geräte ausschließen zurück.

    7. Um einen Ausschluss zu löschen, wählen Sie den Ausschluss und dann das Papierkorbsymbol aus.

      Löschen eines Ausschlusses.

Globale ausgeschlossene Entitäten

Sie können jetzt auch Ausschlüsse nach global ausgeschlossenen Entitäten konfigurieren. Mit globalen Ausschlüssen können Sie bestimmte Entitäten (IP-Adressen, Subnetze, Geräte oder Domänen) definieren, die für alle Erkennungen von Defender for Identity ausgeschlossen werden sollen. Wenn Sie also z. B. ein Gerät ausschließen, gilt es nur für erkennungen, die die Geräteidentifikation als Teil der Erkennung aufweisen.

  1. Wählen Sie im Menü auf der linken Seite Die Option Global ausgeschlossene Entitäten aus. Sie sehen die Kategorien von Entitäten, die Sie ausschließen können.

    Globale ausgeschlossene Entitäten.

  2. Wählen Sie einen Ausschlusstyp aus. In diesem Beispiel haben wir Domänen ausschließen ausgewählt.

    Schließen Sie Domänen aus.

  3. Es wird ein Bereich geöffnet, in dem Sie eine auszuschließende Domäne hinzufügen können. Fügen Sie die Domäne hinzu, die Sie ausschließen möchten.

    Fügen Sie eine Domäne hinzu, die ausgeschlossen werden soll.

  4. Die Domäne wird der Liste hinzugefügt. Wählen Sie Domänen ausschließen aus, um den Ausschluss abzuschließen.

    Wählen Sie Domänen ausschließen aus.

  5. Anschließend wird die Domäne in der Liste der Entitäten angezeigt, die von allen Erkennungsregeln ausgeschlossen werden sollen. Sie können die Liste exportieren oder die Entitäten entfernen, indem Sie sie auswählen und die Schaltfläche Entfernen auswählen.

    Liste der globalen ausgeschlossenen Einträge.

Nächste Schritte