Del via

Utelat ressurser fra automatiserte svar i automatisk angrepsavbrudd

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR

Denne artikkelen gir informasjon om hvordan du utelater ressurser fra å bli automatisk inneholdt av automatiske angrepsforstyrrelser i Microsoft Defender XDR.

Automatisk angrepsavbrudd gjør det mulig å ekskludere bestemte brukerkontoer, enheter og IP-adresser fra automatiserte oppbevaringshandlinger. Når de er ekskludert, vil ikke disse ressursene bli påvirket av automatiserte handlinger utløst av angrepsforstyrrelser.

Forsiktig!

Det anbefales ikke å ekskludere ressurser fra automatiserte svar. Hvis du ekskluderer ressurser fra automatiserte svar, kan du redusere effektiviteten av automatiske angrepsforstyrrelser for å beskytte miljøet mot avanserte angrep med høy effekt.

Forutsetninger

Hvis du vil utelate ressurser fra automatiserte svar i automatiske angrepsavbrudd, må du ha én av følgende roller tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller i Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com):

  • Global Administrator
  • Sikkerhetsadministrator

Se gjennom eller endre automatiserte svarutelukkelser for aktiva

Følg disse trinnene for å ekskludere ressurser fra automatiserte svar i automatisk angrepsavbrudd:

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com) og logg på.

  2. Gå til Innstillinger>Microsoft Defender XDR.

Utelat brukerkontoer

  1. Velg Identiteter under Automatisert svar.

  2. Hvis du vil utelate en brukerkonto, velger du Legg til brukerutelukkelse. En undermenyrute vises.

    Identiteter-siden i de automatiserte svarinnstillingene for angrepsavbrudd

  3. Skriv inn brukerkontonavnene i velg brukere-boksen i undermenyen, og velg brukerkontoene du vil utelate.

    Undermenyruten når du legger til og velger brukere som skal utelates i de automatiserte svarinnstillingene for angrepsavbrudd

  4. Velg Utelat brukere for å lagre utelukkelsen.

Utelat enhetsgrupper

Forsiktig!

Å ekskludere enhetsgrupper fra automatiserte svar påvirker også automatiserte undersøkelses- og responshandlinger .

  1. Velg Enheter under Automatiserte svar.

  2. Velg en enhetsgruppe i Enhetsgrupper-fanen ved å merke av i avmerkingsboksen ved siden av gruppenavnet fra listen for å konfigurere innstillinger for automatisering av angrepsavbrudd.

    Enhetsgrupper-fanen i de automatiserte svarinnstillingene for angrepsavbrudd

  3. Velg riktig automatiseringsnivå for enhetsgruppen i undermenyen. Du kan velge blant ett av følgende automatiseringsnivåer som passer for enhetsgruppen:

    • Fullstendig – utbedr trusler automatisk: Inneholder enheter automatisk når en trussel oppdages.
    • Semi – krev godkjenning for kjernemapper: Undersøk enheter automatisk når et varsel mottas, og bruk utbedringshandlinger unntatt elementer i kjernesystemmappene. Utbedringshandlinger for kjernemappene krever godkjenning.
    • Semi – krever godkjenning for ikke-midlertidige mapper: Undersøk og bruk utbedring på handlinger i midlertidige mapper og nedlastingsmapper automatisk når et varsel mottas. Alle andre utbedringshandlinger krever godkjenning.
    • Semi – krev godkjenning for alle mapper: Undersøk enheter automatisk når et varsel mottas. Alle utbedringshandlinger krever godkjenning.
    • Ingen automatisert respons: Ingen automatisert undersøkelse eller svar er tatt for enheter i denne gruppen.

    Undermenyrute når du konfigurerer automatiseringsnivåer for en enhetsgruppe

  4. Velg Lagre for å lagre automatiseringsnivået for enhetsgruppen.

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Utelat IP-er

  1. Velg Enheter under Automatiserte svar.

  2. Velg Utelat IP for å utelate en IP-adresse på IP-fanen.

    IPs-fanen i de automatiserte svarinnstillingene for angrepsavbrudd

  3. Skriv inn IP-adressen/IP-delnettet du vil utelate, i undermenyen. Du kan legge til flere IP-adresser og IP-delnett ved å skille dem med et komma.

    Undermenyrute når du legger til IP-adresser som skal utelates i de automatiserte svarinnstillingene for angrepsavbrudd

  4. Legg til et navn og notat for utelukkelsen. Velg Opprett for å lagre utelukkelsen.

Fjern utelatelser

Slik fjerner du en utelatelse:

  • Gå til Identiteter-siden . Velg brukerkontoen du vil fjerne fra listen, og velg deretter Fjern.

Utheve alternativet for fjerning når du fjerner en ekskludert bruker på Identiteter-siden i innstillingene for automatisering av angrepsforstyrrelser

  • Gå til Enheter-siden , og gå til IP-fanen . Velg IP-adressen du vil fjerne fra listen, og velg deretter Fjern utelukkelse.

Utheving av alternativet for fjerning når du fjerner en utelatt IP-adresse i IP-fanen for automatiseringsinnstillinger for angrepsforstyrrelser

  • Enhetsgruppeutelukkelser kan konfigureres i Enhetsgrupper-fanen . Velg enhetsgruppen du vil konfigurere fra listen, og velg riktig utelukkelse fra undermenyruten. Velg Lagre for å lagre utelukkelsen.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.