Microsoft Defender XDRで Defender for Identity 検出の除外を構成する
この記事では、Microsoft Defender XDRでMicrosoft Defender for Identity検出除外を構成する方法について説明します。
Microsoft Defender for Identityでは、特定の IP アドレス、コンピューター、ドメイン、またはユーザーを多数の検出から除外できます。
たとえば、 DNS 偵察 アラートは、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーによってトリガーされる可能性があります。 除外を作成すると、Defender for Identity はこのようなスキャナーを無視し、誤検知を減らすことができます。
注:
除外を使用するのではなく 、アラートを調整 することをお勧めします。 アラート チューニング ルールでは、除外よりも詳細な条件が許可され、チューニングされたアラートを確認できます。
注:
DNS アラートに対する疑わしい通信が開かれた最も一般的なドメインのうち、ユーザーがアラートから最も除外したドメインを確認しました。 これらのドメインは既定で除外リストに追加されますが、簡単に削除することもできます。
検出除外を追加する方法
Microsoft Defender XDRで、[設定]、[ID] の順に移動します。
左側のメニューに [除外されたエンティティ] が表示されます。
その後、 検出ルール による除外と グローバル除外エンティティの 2 つの方法で除外を設定できます。
検出ルールによる除外
左側のメニューで、[ 検出ルールによる除外] を選択します。 検出ルールの一覧が表示されます。
構成する検出ごとに、次の手順を実行します。
ルールを選択します。 検索バーを使用して検出を検索できます。 選択すると、検出ルールの詳細が表示されたウィンドウが開きます。
除外を追加するには、[ 除外されたエンティティ ] ボタンを選択し、除外の種類を選択します。 ルールごとに異なる除外エンティティを使用できます。 これには、ユーザー、デバイス、ドメイン、IP アドレスが含まれます。 この例では、[ デバイスの除外] と [ IP アドレスの除外] を選択します。
除外の種類を選択した後、除外を追加できます。 開いたウィンドウで、[ + ] ボタンを選択して除外を追加します。
次に、除外するエンティティを追加します。 [ + 追加] を選択して、エンティティを一覧に追加します。
次に、[ IP アドレスの除外 ] (この例では) を選択して除外を完了します。
除外を追加したら、[除外 されたエンティティ ] ボタンに戻ってリストをエクスポートするか、除外を削除できます。 この例では、[ デバイスの除外] に戻っています。 リストをエクスポートするには、下矢印ボタンを選択します。
除外を削除するには、除外を選択し、ごみ箱アイコンを選択します。
グローバル除外エンティティ
グローバル除外エンティティによる除外を構成できるようになりました。 グローバル除外を使用すると、Defender for Identity が持つすべての検出で除外される特定のエンティティ (IP アドレス、サブネット、デバイス、またはドメイン) を定義できます。 たとえば、デバイスを除外する場合は、検出の一部としてデバイス識別を持つ検出にのみ適用されます。
左側のメニューで、[ グローバル除外エンティティ] を選択します。 除外できるエンティティのカテゴリが表示されます。
除外の種類を選択します。 この例では、[ドメインの 除外] を選択しました。
除外するドメインを追加できるウィンドウが開きます。 除外するドメインを追加します。
ドメインが一覧に追加されます。 除外を完了するには 、[ドメインの除外] を選択します。
その後、すべての検出ルールから除外するエンティティの一覧にドメインが表示されます。 リストをエクスポートするか、エンティティを選択して [削除] ボタンを選択してエンティティを 削除 できます。