Configurare le esclusioni di rilevamento di Defender per identità in Microsoft Defender XDR
Questo articolo illustra come configurare le esclusioni di rilevamento Microsoft Defender per identità in Microsoft Defender XDR.
Microsoft Defender per identità consente l'esclusione di indirizzi IP, computer, domini o utenti specifici da diversi rilevamenti.
Ad esempio, un avviso di ricognizione DNS potrebbe essere attivato da uno scanner di sicurezza che usa DNS come meccanismo di analisi. La creazione di un'esclusione consente a Defender for Identity di ignorare tali scanner e ridurre i falsi positivi.
Nota
È consigliabile ottimizzare un avviso anziché usare esclusioni. Le regole di ottimizzazione degli avvisi consentono condizioni più granulari rispetto alle esclusioni e consentono di esaminare gli avvisi ottimizzati.
Nota
Tra i domini più comuni con avvisi di comunicazione sospetta tramite DNS aperti su di essi, sono stati osservati i domini che i clienti più esclusi dall'avviso. Questi domini vengono aggiunti all'elenco esclusioni per impostazione predefinita, ma è possibile rimuoverli facilmente.
Come aggiungere esclusioni di rilevamento
In Microsoft Defender XDR passare a Impostazioni e quindi identità.
Verranno quindi visualizzate le entità escluse nel menu a sinistra.
È quindi possibile impostare le esclusioni in base a due metodi: esclusioni per regola di rilevamento ed entità escluse globali.
Esclusioni per regola di rilevamento
Nel menu a sinistra selezionare Esclusioni per regola di rilevamento. Verrà visualizzato un elenco di regole di rilevamento.
Per ogni rilevamento che si vuole configurare, seguire questa procedura:
Selezionare la regola. È possibile cercare i rilevamenti usando la barra di ricerca. Una volta selezionato, verrà aperto un riquadro con i dettagli della regola di rilevamento.
Per aggiungere un'esclusione, selezionare il pulsante Entità escluse e quindi scegliere il tipo di esclusione. Per ogni regola sono disponibili entità escluse diverse. Includono utenti, dispositivi, domini e indirizzi IP. In questo esempio le scelte sono Escludi dispositivi ed Escludi indirizzi IP.
Dopo aver scelto il tipo di esclusione, è possibile aggiungere l'esclusione. Nel riquadro visualizzato selezionare il + pulsante per aggiungere l'esclusione.
Aggiungere quindi l'entità da escludere. Selezionare + Aggiungi per aggiungere l'entità all'elenco.
Selezionare quindi Escludi indirizzi IP (in questo esempio) per completare l'esclusione.
Dopo aver aggiunto le esclusioni, è possibile esportare l'elenco o rimuovere le esclusioni tornando al pulsante Entità escluse . In questo esempio è stato restituito l'opzione Escludi dispositivi. Per esportare l'elenco, selezionare il pulsante freccia giù.
Per eliminare un'esclusione, selezionare l'esclusione e selezionare l'icona del cestino.
Entità escluse globali
È ora anche possibile configurare le esclusioni dalle entità escluse globali. Le esclusioni globali consentono di definire determinate entità (indirizzi IP, subnet, dispositivi o domini) da escludere in tutti i rilevamenti di Defender per identità. Ad esempio, se si esclude un dispositivo, questo si applicherà solo ai rilevamenti con identificazione del dispositivo come parte del rilevamento.
Nel menu a sinistra selezionare Entità escluse globali. Verranno visualizzate le categorie di entità che è possibile escludere.
Scegliere un tipo di esclusione. In questo esempio è stato selezionato Escludi domini.
Verrà aperto un riquadro in cui è possibile aggiungere un dominio da escludere. Aggiungere il dominio da escludere.
Il dominio verrà aggiunto all'elenco. Selezionare Escludi domini per completare l'esclusione.
Il dominio verrà quindi visualizzato nell'elenco delle entità da escludere da tutte le regole di rilevamento. È possibile esportare l'elenco o rimuovere le entità scegliendole e selezionando il pulsante Rimuovi .
