Delen via

Uitsluitingen voor Defender for Identity-detectie configureren in Microsoft Defender XDR

  • Artikel

In dit artikel wordt uitgelegd hoe u uitsluitingen voor Microsoft Defender for Identity-detectie configureert in Microsoft Defender XDR.

Microsoft Defender for Identity maakt het mogelijk specifieke IP-adressen, computers, domeinen of gebruikers uit te sluiten van een aantal detecties.

Een DNS Reconnaissance-waarschuwing kan bijvoorbeeld worden geactiveerd door een beveiligingsscanner die GEBRUIKMAAKT van DNS als een scanmechanisme. Door een uitsluiting te maken, kan Defender for Identity dergelijke scanners negeren en fout-positieven verminderen.

Opmerking

We raden u aan om een waarschuwing af te stemmen in plaats van uitsluitingen te gebruiken. Regels voor het afstemmen van waarschuwingen staan gedetailleerdere voorwaarden toe dan uitsluitingen en stellen u in staat om de waarschuwingen te bekijken die zijn afgestemd.

Opmerking

Van de meest voorkomende domeinen met verdachte communicatie via DNS-waarschuwingen die erop zijn geopend, hebben we de domeinen waargenomen die klanten het meest hebben uitgesloten van de waarschuwing. Deze domeinen worden standaard toegevoegd aan de lijst met uitsluitingen, maar u kunt ze eenvoudig verwijderen.

Detectieuitsluitingen toevoegen

  1. Ga in Microsoft Defender XDR naar Instellingen en vervolgens Naar Identiteiten.

    Ga naar Instellingen en vervolgens Identiteiten.

  2. Vervolgens ziet u Uitgesloten entiteiten in het linkermenu.

    Uitgesloten entiteiten.

    Vervolgens kunt u uitsluitingen op twee manieren instellen: Uitsluitingen op detectieregel en Globale uitgesloten entiteiten.

Uitsluitingen op detectieregel

  1. Selecteer uitsluitingen op detectieregel in het linkermenu. U ziet een lijst met detectieregels.

    Uitsluitingen op detectieregel.

  2. Voer de volgende stappen uit voor elke detectie die u wilt configureren:

    1. Selecteer de regel. U kunt zoeken naar detecties met behulp van de zoekbalk. Zodra deze optie is geselecteerd, wordt er een deelvenster geopend met de details van de detectieregel.

      Details van detectieregel.

    2. Als u een uitsluiting wilt toevoegen, selecteert u de knop Uitgesloten entiteiten en kiest u vervolgens het uitsluitingstype. Voor elke regel zijn verschillende uitgesloten entiteiten beschikbaar. Ze omvatten gebruikers, apparaten, domeinen en IP-adressen. In dit voorbeeld zijn de opties Apparaten uitsluiten en IP-adressen uitsluiten.

      Sluit apparaten of IP-adressen uit.

    3. Nadat u het uitsluitingstype hebt gekozen, kunt u de uitsluiting toevoegen. Selecteer in het deelvenster dat wordt geopend de + knop om de uitsluiting toe te voegen.

      Voeg een uitsluiting toe.

    4. Voeg vervolgens de entiteit toe die moet worden uitgesloten. Selecteer + Toevoegen om de entiteit toe te voegen aan de lijst.

      Voeg een entiteit toe die moet worden uitgesloten.

    5. Selecteer vervolgens IP-adressen uitsluiten (in dit voorbeeld) om de uitsluiting te voltooien.

      IP-adressen uitsluiten.

    6. Zodra u uitsluitingen hebt toegevoegd, kunt u de lijst exporteren of de uitsluitingen verwijderen door terug te keren naar de knop Uitgesloten entiteiten . In dit voorbeeld zijn we teruggegaan naar Apparaten uitsluiten. Als u de lijst wilt exporteren, selecteert u de pijl-omlaag.

      Ga terug naar Apparaten uitsluiten.

    7. Als u een uitsluiting wilt verwijderen, selecteert u de uitsluiting en selecteert u het prullenbakpictogram.

      Een uitsluiting verwijderen.

Globale uitgesloten entiteiten

U kunt nu ook uitsluitingen configureren voor globale uitgesloten entiteiten. Met globale uitsluitingen kunt u bepaalde entiteiten (IP-adressen, subnetten, apparaten of domeinen) definiƫren die moeten worden uitgesloten voor alle detecties die Defender for Identity heeft. Als u bijvoorbeeld een apparaat uitsluit, is dit alleen van toepassing op detecties die apparaatidentificatie als onderdeel van de detectie hebben.

  1. Selecteer in het menu aan de linkerkant De optie Globale uitgesloten entiteiten. U ziet de categorieƫn entiteiten die u kunt uitsluiten.

    Globale uitgesloten entiteiten.

  2. Kies een uitsluitingstype. In dit voorbeeld hebben we domeinen uitsluiten geselecteerd.

    Domeinen uitsluiten.

  3. Er wordt een deelvenster geopend waarin u een domein kunt toevoegen dat moet worden uitgesloten. Voeg het domein toe dat u wilt uitsluiten.

    Voeg een domein toe dat moet worden uitgesloten.

  4. Het domein wordt toegevoegd aan de lijst. Selecteer Domeinen uitsluiten om de uitsluiting te voltooien.

    Selecteer Domeinen uitsluiten.

  5. Vervolgens ziet u het domein in de lijst met entiteiten die moeten worden uitgesloten van alle detectieregels. U kunt de lijst exporteren of de entiteiten verwijderen door ze te kiezen en de knop Verwijderen te selecteren.

    Lijst met globale uitgesloten vermeldingen.

Volgende stappen