Ausschließen von Ressourcen von automatisierten Reaktionen bei automatischer Angriffsunterbrechung

• Gilt für::

  Microsoft Defender XDR

Dieser Artikel enthält Informationen dazu, wie Sie Ausschließen, dass Ressourcen automatisch durch automatische Angriffsunterbrechungen in Microsoft Defender XDR eingeschlossen werden.

Automatische Angriffsunterbrechungen ermöglichen den Ausschluss bestimmter Benutzerkonten, Geräte und IP-Adressen aus automatisierten Einschlussaktionen. Nach dem Ausschluss werden diese Ressourcen nicht von automatisierten Aktionen beeinflusst, die durch eine Angriffsunterbrechung ausgelöst werden.

Achtung

Das Ausschließen von Ressourcen aus automatisierten Antworten wird nicht empfohlen. Das Ausschließen von Ressourcen aus automatisierten Reaktionen kann die Effektivität automatischer Angriffsunterbrechungen beim Schutz Ihrer Umgebung vor komplexen, schwerwiegenden Angriffen verringern.

Voraussetzungen

Um Ressourcen von automatisierten Reaktionen bei automatischen Angriffsunterbrechungen auszuschließen, muss Ihnen eine der folgenden Rollen entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:

• Globaler Administrator
• Sicherheitsadministrator

Überprüfen oder Ändern automatisierter Antwortausschlüsse für Ressourcen

Führen Sie die folgenden Schritte aus, um Ressourcen von automatisierten Reaktionen bei automatischen Angriffsunterbrechungen auszuschließen:

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

2. Wechseln Sie zu Einstellungen>Microsoft Defender XDR.

Benutzerkonten ausschließen

1. Wählen Sie unter Automatisierte Antwortdie Option Identitäten aus.

2. Um ein Benutzerkonto auszuschließen, wählen Sie Benutzerausschluss hinzufügen aus. Ein Flyoutbereich wird angezeigt.

   

3. Geben Sie im Flyoutbereich die Benutzernamen im Feld Benutzer auswählen ein, und wählen Sie die Benutzerkonten aus, die Sie ausschließen möchten.

   

4. Wählen Sie Benutzer ausschließen aus, um den Ausschluss zu speichern.

Ausschließen von Gerätegruppen

Achtung

Das Ausschließen von Gerätegruppen aus automatisierten Antworten wirkt sich auch auf automatisierte Untersuchungs- und Reaktionsaktionen aus.

1. Wählen Sie unter Automatisierte Antworten die Option Geräte aus.

2. Wählen Sie auf der Registerkarte Gerätegruppen eine Gerätegruppe aus, indem Sie das Kontrollkästchen neben dem Gruppennamen in der Liste aktivieren, um einstellungen für die Automatisierung von Angriffsunterbrechungen zu konfigurieren.

   

3. Wählen Sie im Flyoutbereich die entsprechende Automatisierungsebene für die Gerätegruppe aus. Sie können aus einer der folgenden Automatisierungsebenen wählen, die für Ihre Gerätegruppe geeignet sind:

   • Vollständig – Bedrohungen automatisch beheben: Geräte automatisch enthalten, wenn eine Bedrohung erkannt wird.
   • Semi – Genehmigung für Kernordner erforderlich: Untersuchen Sie Automatisch Geräte, wenn eine Warnung empfangen wird, und wenden Sie Korrekturaktionen an, mit Ausnahme von Elementen in kernen Systemordnern. Korrekturaktionen für die Kernordner erfordern eine Genehmigung.
   • Semi – Genehmigung für ordner erforderlich, die nicht temporäre Ordner sind: Überprüfen Sie automatisch Aktionen in temporären Ordnern und Downloadordnern, und wenden Sie korrekturen an, wenn eine Warnung empfangen wird. Alle anderen Wiederherstellungsaktionen erfordern eine Genehmigung.
   • Semi : Genehmigung für alle Ordner erforderlich: Geräte automatisch untersuchen, wenn eine Warnung empfangen wird. Alle Wiederherstellungsaktionen erfordern eine Genehmigung.
   • Keine automatisierte Antwort: Für Geräte in dieser Gruppe wird keine automatisierte Untersuchung oder Antwort durchgeführt.

   

4. Wählen Sie Speichern aus, um die Automatisierungsebene für die Gerätegruppe zu speichern.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Ausdrücklichen oder Stillschweigenden Garantien.

IP-Adressen ausschließen

1. Wählen Sie unter Automatisierte Antworten die Option Geräte aus.

2. Wählen Sie auf der Registerkarte IP-Adressen die Option IP ausschließen aus, um eine IP-Adresse auszuschließen.

   

3. Geben Sie im Flyoutbereich die IP-Adresse,den IP-Adressbereich/das IP-Subnetz ein, die Sie ausschließen möchten. Sie können mehrere IP-Adressen und IP-Subnetze hinzufügen, indem Sie sie durch ein Komma trennen.

   

4. Fügen Sie einen Namen und eine Notiz für den Ausschluss hinzu. Wählen Sie Erstellen aus, um den Ausschluss zu speichern.

Entfernen von Ausschlüssen

So entfernen Sie einen Ausschluss:

• Wechseln Sie zur Seite Identitäten . Wählen Sie das Benutzerkonto aus, das Sie aus der Liste entfernen möchten, und wählen Sie dann Entfernen aus.

• Navigieren Sie zur Seite Geräte , und navigieren Sie zur Registerkarte IP-Adressen . Wählen Sie die IP-Adresse aus, die Sie aus der Liste entfernen möchten, und wählen Sie dann Ausschluss entfernen aus.

• Gerätegruppenausschlüsse können auf der Registerkarte Gerätegruppen konfiguriert werden. Wählen Sie in der Liste die Gerätegruppe aus, die Sie konfigurieren möchten, und wählen Sie den entsprechenden Ausschluss aus dem Flyoutbereich aus. Wählen Sie Speichern aus, um den Ausschluss zu speichern.

Siehe auch

• Anzeigen von Details und Ergebnissen automatisierter Angriffsunterbrechungsaktionen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.