Microsoft Defender XDR で Defender for Identity 検出の除外を構成する
この記事では、Microsoft Defender XDR で Microsoft Defender for Identity の検出除外を設定する方法について説明します。
Microsoft Defender for Identity を使用すると、特定の IP アドレス、コンピューター、ドメイン、またはユーザーをさまざまな検出から除外できます。
たとえば、DNS 偵察アラートは、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーによってトリガーされる可能性があります。 除外を作成すると、Defender for Identity はそのようなスキャナーを無視し、誤検知を減らすことができます。
Note
除外を使用する代わりに アラートをチューニングする ことをお勧めします。 アラート チューニング ルールでは、除外よりも詳細な条件が可能で、チューニングされたアラートを確認することができます。
Note
DNS 経由の疑わしい通信アラートがオープンしている最も一般的なドメインのうち、他のお客様がアラートから最も除外しているドメインを確認しました。 これらのドメインは既定で除外リストに追加されますが、簡単に削除することもできます。
検出の除外を追加する方法
Microsoft Defender XDR で、[設定]、[ID] の順に進みます。
左側のメニューに除外されたエンティティが表示されます。
続いて、検出ルールによる除外とグローバル除外エンティティの 2 つの方法で除外を設定できます。
検出ルールによる除外
左側のメニューで、[検出ルールによる除外] を選択します。 検出ルールの一覧が表示されます。
構成する検出ごとに、以下の手順を行います:
ルールを選択します。 検索バーを使用して検出を検索できます。 選択すると、検出ルールの詳細を表示するウィンドウが開きます。
除外を追加するには、[除外されたエンティティ] ボタンを選択し、除外の種類を選択します。 除外されるエンティティは、ルールごとに異なります。 これには、ユーザー、デバイス、doメイン、IP アドレスが含まれます。 この例では、[デバイスの除外] と [IP アドレスの除外] を選択します。
除外の種類を選択した後、除外を追加できます。 開いたウィンドウで、除外を追加する + ボタンを選択します。
続いて、除外するエンティティを追加します。 [+ 追加] を選択してエンティティを一覧に追加します。
続いて、[IP アドレスの除外] を選択して (この例では)、除外を完了します。
除外を追加したら、[除外されたエンティティ] ボタンに戻って、一覧をエクスポートしたり、除外を削除したりできます。 この例では、[デバイスの除外] に戻ります。 リストをエクスポートするには、下矢印ボタンを選択します。
除外を削除するには、除外を選択し、ごみ箱アイコンを選択します。
グローバル除外エンティティ
グローバル除外エンティティによる除外を構成できるようになりました。 グローバル除外を使用すると、Defender for Identity のすべての検出で除外される特定のエンティティ (IP アドレス、サブネット、デバイス、またはドメイン) を定義できます。 たとえば、デバイスを除外した場合、検出の一部としてデバイス ID を持つ検出にのみ適用されます。
左側のメニューで、[グローバルに除外されたエンティティ] を選択します。 除外できるエンティティのカテゴリが表示されます。
除外の種類を選択します。 この例では、[ドメインの除外] を選択しました。
除外するドメインを追加できるウィンドウが開きます。 除外するドメインを追加します。
ドメインがリストに追加されます。 [ドメインを除外] を選択して、除外を完了します。
その後、すべての検出ルールから除外するエンティティの一覧にそのドメインが表示されます。 リストのエクスポートやエンティティの削除は、リストやエンティティを選択して、[削除] ボタンを選択することで実行できます。