Konfigurer Defender for utelukkelser for identitetsgjenkjenning i Microsoft Defender XDR

Denne artikkelen forklarer hvordan du konfigurerer utelukkelser for Microsoft Defender for identitet registrering i Microsoft Defender XDR.

Microsoft Defender for identitet muliggjør utelukkelse av bestemte IP-adresser, datamaskiner, domener eller brukere fra en rekke gjenkjenninger.

Et DNS-rekognoseringsvarsel kan for eksempel utløses av en sikkerhetsskanner som bruker DNS som skannemekanisme. Ved å opprette en utelatelse kan Defender for Identitet ignorere slike skannere og redusere falske positiver.

Obs!

Vi anbefaler at du justerer et varsel i stedet for å bruke utelatelser. Varslingsjusteringsregler tillater mer detaljerte betingelser enn utelatelser, og lar deg se gjennom varslene som ble innstilt.

Obs!

Av de vanligste domenene med mistenkelig kommunikasjon over DNS-varsler som ble åpnet på dem, observerte vi domenene som kundene mest ekskluderte fra varselet. Disse domenene legges til i utelatelseslisten som standard, men du kan enkelt fjerne dem.

Slik legger du til utelatelser for gjenkjenning

1. Gå til Innstillinger og deretter Identiteteri Microsoft Defender XDR.

   

2. Deretter ser du utelatte enheter i menyen til venstre.

   

   Deretter kan du angi utelatelser ved hjelp av to metoder: Utelatelser ved gjenkjenningsregel og globale utelatte enheter.

Utelatelser etter gjenkjenningsregel

1. Velg Utelatelser etter gjenkjenningsregel i menyen til venstre. Du ser en liste over gjenkjenningsregler.

   

2. Gjør følgende for hver gjenkjenning du vil konfigurere:

   1. Velg regelen. Du kan søke etter gjenkjenninger ved hjelp av søkefeltet. Når den er valgt, åpnes en rute med detaljer om gjenkjenningsregelen.

      

   2. Hvis du vil legge til en utelatelse, velger du Knappen Ekskluderte enheter , og deretter velger du utelatelsestypen. Ulike utelatte enheter er tilgjengelige for hver regel. De inkluderer brukere, enheter, domener og IP-adresser. I dette eksemplet er valgene Utelat enheter og Utelat IP-adresser.

      

   3. Når du har valgt utelatelsestypen, kan du legge til utelukkelsen. Velg + knappen for å legge til utelukkelsen i ruten som åpnes.

      

   4. Legg deretter til enheten som skal utelates. Velg + Legg til for å legge til enheten i listen.

      

   5. Velg deretter Utelat IP-adresser (i dette eksemplet) for å fullføre utelukkelsen.

      

   6. Når du har lagt til utelatelser, kan du eksportere listen eller fjerne utelukkelsene ved å gå tilbake til knappen Ekskluderte enheter . I dette eksemplet har vi returnert til Utelat enheter. Hvis du vil eksportere listen, velger du pil ned-knappen.

      

   7. Hvis du vil slette en utelatelse, velger du utelukkelsen og velger papirkurvikonet.

      

Globale ekskluderte enheter

Nå kan du også konfigurere utelatelser av globale ekskluderte enheter. Med globale utelatelser kan du definere bestemte enheter (IP-adresser, delnett, enheter eller domener) som skal utelates på tvers av alle gjenkjenningene Defender for Identitet har. Så hvis du for eksempel ekskluderer en enhet, gjelder den bare for de gjenkjenningene som har enhetsidentifikasjon som en del av gjenkjenningen.

1. Velg Globale utelatte enheter i menyen til venstre. Du ser kategoriene for enheter som du kan utelate.

   

2. Velg en utelatelsestype. I dette eksemplet valgte vi Utelat domener.

   

3. En rute åpnes der du kan legge til et domene som skal utelates. Legg til domenet du vil utelate.

   

4. Domenet legges til i listen. Velg Utelat domener for å fullføre utelukkelsen.

   

5. Deretter ser du domenet i listen over enheter som skal utelukkes fra alle gjenkjenningsregler. Du kan eksportere listen eller fjerne enhetene ved å velge dem og velge Fjern-knappen .

   

Neste trinn

• Konfigurer hendelsessamling
• Ta en titt på Defender for Identity-forumet!