Defenderin määrittäminen käyttäjätietojen tunnistamisen poissulkemisia varten Microsoft Defender XDR
Tässä artikkelissa kerrotaan, miten voit määrittää Microsoft Defender for Identity tunnistamisen poikkeukset Microsoft Defender XDR.
Microsoft Defender for Identity mahdollistaa tiettyjen IP-osoitteiden, tietokoneiden, toimialueiden tai käyttäjien poissulkemisen useista tunnistuksia.
Esimerkiksi DNS-tiedusteluhälytys voidaan käynnistää suojausskannerilla, joka käyttää DNS:ää skannausmekanismina. Poissulkemisen luominen auttaa Defender for Identityä ohittamaan tällaiset skannerit ja vähentämään false-positiivisia arvoja.
Huomautus
Suosittelemme , että virität ilmoituksen poissulkemisten käytön sijaan. Hälytysten säätösäännöt sallivat enemmän rakeisia ehtoja kuin poissulkemiset, ja voit tarkistaa hälytykset, jotka on viritetty.
Huomautus
Yleisimmistä toimialueista, joissa on avattu epäilyttävä viestintä DNS-hälytysten suhteen , havaittiin verkkotunnukset, jotka asiakkaat eniten sulkivat pois hälytyksestä. Nämä toimialueet lisätään oletusarvoisesti pois jätettyjen luetteloon, mutta voit poistaa ne helposti.
Tunnistuspoikkeamien lisääminen
Valitse Microsoft Defender XDRAsetukset ja sitten Käyttäjätiedot.
Vasemmanpuoleisessa valikossa näkyy sitten Pois jätetyt entiteetit .
Voit sitten määrittää poissulkemiset kahdella tavalla: Poissulkemiset tunnistussäännön mukaan ja yleiset pois jätetyt entiteetit.
Poissulkemiset tunnistussäännön mukaan
Valitse vasemmassa valikossa Poissulkemiset tunnistussäännön mukaan. Näet luettelon tunnistussäännöistä.
Toimi seuraavasti jokaisen määritettävän tunnistuksen kohdalla:
Valitse sääntö. Voit etsiä tunnistuksia hakupalkin avulla. Kun se on valittu, avautuu ruutu, jossa on tunnistussäännön tiedot.
Jos haluat lisätä poikkeuksen, valitse Poissuljetut entiteetit -painike ja valitse sitten poissulkemistyyppi. Kullekin säännölle on käytettävissä erilaisia pois jätettyjä entiteettejä. Ne sisältävät käyttäjiä, laitteita, toimialueita ja IP-osoitteita. Tässä esimerkissä vaihtoehdot ovat Jätä pois laitteet ja Jätä IP-osoitteet pois.
Kun olet valinnut poissulkemistyypin, voit lisätä poikkeuksen. Lisää poissulkeminen valitsemalla painike avautuvasta + ruudusta.
Lisää sitten entiteetti, joka jätetään pois. Lisää entiteetti luetteloon valitsemalla + Lisää .
Suorita pois jättäminen valitsemalla Jätä IP-osoitteet pois (tässä esimerkissä).
Kun olet lisännyt poissulkemiset, voit viedä luettelon tai poistaa poissulkemiset palaamalla Poissuljetut entiteetit -painikkeeseen. Tässä esimerkissä olemme palauttaneet laitteista pois jätettämiseen. Jos haluat viedä luettelon, valitse alanuolipainike.
Jos haluat poistaa poikkeuksen, valitse poissulkeminen ja valitse roskakorikuvake.
Yleiset pois jätetyt entiteetit
Voit nyt myös määrittää poissulkemisia globaaleissa pois jätetyissä entiteeteissä. Yleisten poissulkemisten avulla voit määrittää tietyt entiteetit (IP-osoitteet, aliverkot, laitteet tai toimialueet), jotka ohitetaan kaikissa tunnistuksia, joita Defender for Identityssä on. Jos esimerkiksi jätät laitteen pois, se koskee vain niitä tunnistuksia, joiden tunnistuksen osana on laitetunniste.
Valitse vasemmassa valikossa Yleiset pois jätetyt entiteetit. Näet entiteettien luokat, jotka voit jättää pois.
Valitse poissulkemistyyppi. Tässä esimerkissä olemme valinneet Jätä toimialueet pois.
Näyttöön avautuu ruutu, jossa voit lisätä toimialueen, joka jätetään pois. Lisää toimialue, jonka haluat jättää pois.
Toimialue lisätään luetteloon. Suorita pois jättäminen valitsemalla Jätä toimialueet pois.
Sen jälkeen näet toimialueen luettelossa entiteeteistä, jotka jätetään pois kaikista tunnistussäännöistä. Voit viedä luettelon tai poistaa entiteetit valitsemalla ne ja valitsemalla Poista-painikkeen.
