Jaa

Jätä pois resurssit automaattisista vastauksista automaattisen hyökkäyksen häiriöissä

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR

Tässä artikkelissa on tietoja siitä, miten voit estää automaattisesti resurssien automaattisen hyökkäyshäiriön sisältyvät Microsoft Defender XDR.

Automaattinen hyökkäyshäiriö mahdollistaa tiettyjen käyttäjätilien, laitteiden ja IP-osoitteiden sulkemisen pois automatisoiduista eristämistoiminnoista. Kun nämä resurssit jätetään pois, hyökkäyshäiriöiden aiheuttamat automatisoidut toimet eivät vaikuta näihin resursseiksi.

Varoitus

Resursseja ei suositella automaattisiin vastauksiin. Jos resurssit jätetään automaattisten vastausten ulkopuolelle, automaattisen hyökkäyshäiriön tehokkuus heikkennetään, kun ympäristöäsi suojellaan kehittyneiltä, suuritehoisilta hyökkäyksiltä.

Ennakkovaatimukset

Jos haluat jättää resurssit pois automaattisista vastauksista automaattisen hyökkäyksen häiriöissä, sinulla on oltava jokin seuraavista rooleista määritettynä joko Microsoft Entra ID (https://portal.azure.com) tai Microsoft 365 -hallintakeskus (https://admin.microsoft.com):

  • Yleinen järjestelmänvalvoja
  • Suojauksen järjestelmänvalvoja

Resurssien automaattisten vasteen poissulkemisten tarkistaminen tai muuttaminen

Jos haluat jättää resurssit pois automaattisista vastauksista automaattisen hyökkäyksen häiriöissä, toimi seuraavasti:

  1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.

  2. Valitse Asetukset>Microsoft Defender XDR.

Käyttäjätilien jättäminen pois

  1. Valitse Automaattinen vastaus -kohdassa Käyttäjätiedot.

  2. Jos haluat jättää käyttäjätilin pois, valitse Lisää käyttäjän poissulkeminen. Näyttöön avautuu pikaikkunaruutu.

    Käyttäjätiedot-sivu hyökkäyshäiriöiden automatisoitujen vastausten asetuksissa

  3. Kirjoita pikaikkunaruudussa käyttäjätilien nimet Valitse käyttäjät -ruutuun ja valitse käyttäjätilit, jotka haluat jättää pois.

    Pikaikkunaruutu lisättäessä ja valittaessa käyttäjiä, jotka jätetään pois hyökkäyshäiriöiden automatisoiduista vastausasetuksista

  4. Tallenna pois jättäminen valitsemalla Jätä käyttäjät pois.

Laiteryhmien jättäminen pois

Varoitus

Laiteryhmien jättäminen pois automatisoiduista vastauksista vaikuttaa myös automatisoituihin tutkinta- ja vastaustoimintoihin .

  1. Valitse Automaattiset vastaukset -kohdassa Laitteet.

  2. Valitse Laiteryhmät-välilehdessä laiteryhmä valitsemalla luettelosta ryhmän nimen vieressä oleva valintaruutu hyökkäyshäiriöiden automaatioasetusten määrittämiseksi.

    Laiteryhmät-välilehti hyökkäyshäiriöiden automatisoiduissa vastausasetuksissa

  3. Valitse pikaikkunaruudussa laiteryhmän asianmukainen automaatiotaso. Voit valita laiteryhmällesi soveltuvia automaatiotasoja:

    • Full – korjaa uhat automaattisesti: Sisällytä laitteet automaattisesti, kun uhka havaitaan.
    • Semi – edellytä ydinkansioiden hyväksyntää: Tutki laitteet automaattisesti, kun ilmoitus vastaanotetaan, ja ota korjaustoimintoja käyttöön lukuun ottamatta ydinjärjestelmäkansioiden kohteita. Ydinkansioiden korjaustoiminnot edellyttävät hyväksyntää.
    • Semi – edellytä hyväksyntää muille kuin väliaikaisille kansioille: Tutki ja ota korjaus automaattisesti käyttöön temp- ja latauskansioiden toiminnoissa, kun ilmoitus vastaanotetaan. Kaikki muut korjaustoiminnot edellyttävät hyväksyntää.
    • Semi – edellytä kaikkien kansioiden hyväksyntää: Tutki laitteet automaattisesti, kun ilmoitus vastaanotetaan. Kaikki korjaustoiminnot edellyttävät hyväksyntää.
    • Ei automaattista vastausta: Tämän ryhmän laitteille ei tehdä automatisoitua tutkimusta tai vastausta.

    Pikaikkunaruutu määritettäessä laiteryhmän automaatiotasoja

  4. Tallenna laiteryhmän automaatiotaso valitsemalla Tallenna .

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Jätä POIS IPS:t

  1. Valitse Automaattiset vastaukset -kohdassa Laitteet.

  2. Valitse IP-välilehdessäJätä IP-osoite pois , jos haluat jättää IP-osoitteen pois.

    IPS-välilehti hyökkäyshäiriöiden automatisoitujen vastausten asetuksissa

  3. Kirjoita pikaikkunaruutuun IP-osoite/IP-alue/IP-aliverkko, jonka haluat jättää pois. Voit lisätä useita IP-osoitteita ja IP-aliverkkoja erottamalla ne pilkulla.

    Pikaikkunaruutu lisättäessä IP-osoitteita, jotka jätetään pois hyökkäyshäiriöiden automaattisista vastausasetuksista

  4. Lisää poikkeusta varten nimi ja huomautus. Tallenna poissulkeminen valitsemalla Luo .

Poista poissulkemiset

Poikkeuksen poistaminen:

  • Siirry Käyttäjätiedot-sivulle . Valitse käyttäjätili, jonka haluat poistaa luettelosta, ja valitse sitten Poista.

Poistovaihtoehdon korostaminen poissuljetun käyttäjän poistamisen yhteydessä hyökkäyshäiriöiden automaatioasetusten Käyttäjätiedot-sivulla

  • Siirry Laitteet-sivulle ja siirry IPS-välilehteen . Valitse LUETTELOSTA poistettava IP-osoite ja valitse sitten Poista pois jättäminen.

Poistovaihtoehdon korostaminen poissuljetun IP-osoitteen poistamisen yhteydessä hyökkäyshäiriöiden automaatioasetusten IP-välilehdeltä

  • Laiteryhmän poikkeukset voidaan määrittää Laiteryhmät-välilehdessä . Valitse luettelosta laiteryhmä, jonka haluat määrittää, ja valitse sopiva poisjäte pikaikkunaruudusta. Tallenna poissulkeminen valitsemalla Tallenna .

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.