Configurer les exclusions de détection Defender pour Identity dans Microsoft Defender XDR
Cet article explique comment configurer Microsoft Defender pour Identity exclusions de détection dans Microsoft Defender XDR.
Microsoft Defender pour Identity permet d’exclure des adresses IP, des ordinateurs, des domaines ou des utilisateurs spécifiques d’un certain nombre de détections.
Par exemple, une alerte de reconnaissance DNS peut être déclenchée par un analyseur de sécurité qui utilise DNS comme mécanisme d’analyse. La création d’une exclusion permet à Defender pour Identity d’ignorer ces scanneurs et de réduire les faux positifs.
Remarque
Nous vous recommandons de régler une alerte au lieu d’utiliser des exclusions. Les règles de réglage des alertes autorisent des conditions plus précises que les exclusions et vous permettent de passer en revue les alertes qui ont été réglées.
Remarque
Parmi les domaines les plus courants avec des alertes de communication suspecte sur DNS ouvertes, nous avons observé les domaines que les clients ont le plus exclus de l’alerte. Ces domaines sont ajoutés à la liste d’exclusions par défaut, mais vous avez la possibilité de les supprimer facilement.
Comment ajouter des exclusions de détection
Dans Microsoft Defender XDR, accédez à Paramètres, puis Identités.
Vous verrez ensuite Entités exclues dans le menu de gauche.
Vous pouvez ensuite définir des exclusions par deux méthodes : Exclusions par règle de détection et Entités exclues globales.
Exclusions par règle de détection
Dans le menu de gauche, sélectionnez Exclusions par règle de détection. Vous verrez une liste de règles de détection.
Pour chaque détection que vous souhaitez configurer, procédez comme suit :
Sélectionnez la règle. Vous pouvez rechercher des détections à l’aide de la barre de recherche. Une fois sélectionné, un volet s’ouvre avec les détails de la règle de détection.
Pour ajouter une exclusion, sélectionnez le bouton Entités exclues , puis choisissez le type d’exclusion. Différentes entités exclues sont disponibles pour chaque règle. Ils incluent des utilisateurs, des appareils, des domaines et des adresses IP. Dans cet exemple, les choix sont Exclure les appareils et Exclure les adresses IP.
Après avoir choisi le type d’exclusion, vous pouvez ajouter l’exclusion. Dans le volet qui s’ouvre, sélectionnez le + bouton pour ajouter l’exclusion.
Ajoutez ensuite l’entité à exclure. Sélectionnez + Ajouter pour ajouter l’entité à la liste.
Sélectionnez ensuite Exclure les adresses IP (dans cet exemple) pour terminer l’exclusion.
Une fois que vous avez ajouté des exclusions, vous pouvez exporter la liste ou supprimer les exclusions en retournant au bouton Entités exclues . Dans cet exemple, nous sommes retournés à Exclure des appareils. Pour exporter la liste, sélectionnez le bouton flèche vers le bas.
Pour supprimer une exclusion, sélectionnez l’exclusion et sélectionnez l’icône de corbeille.
Entités exclues globales
Vous pouvez désormais également configurer des exclusions par entités exclues globales. Les exclusions globales vous permettent de définir certaines entités (adresses IP, sous-réseaux, appareils ou domaines) à exclure dans toutes les détections de Defender pour Identity. Par exemple, si vous excluez un appareil, il s’applique uniquement aux détections qui ont une identification de l’appareil dans le cadre de la détection.
Dans le menu de gauche, sélectionnez Entités globales exclues. Vous verrez les catégories d’entités que vous pouvez exclure.
Choisissez un type d’exclusion. Dans cet exemple, nous avons sélectionné Exclure des domaines.
Un volet s’ouvre dans lequel vous pouvez ajouter un domaine à exclure. Ajoutez le domaine que vous souhaitez exclure.
Le domaine sera ajouté à la liste. Sélectionnez Exclure des domaines pour terminer l’exclusion.
Vous verrez ensuite le domaine dans la liste des entités à exclure de toutes les règles de détection. Vous pouvez exporter la liste ou supprimer les entités en les choisissant et en sélectionnant le bouton Supprimer .