Delen via

Assets uitsluiten van geautomatiseerde reacties bij automatische aanvalsonderbreking

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR

Dit artikel bevat informatie over het uitsluiten van het automatisch insluiten van assets door automatische aanvalsonderbreking in Microsoft Defender XDR.

Automatische aanvalsonderbreking maakt het mogelijk specifieke gebruikersaccounts, apparaten en IP-adressen uit te sluiten van geautomatiseerde insluitingsacties. Zodra deze assets zijn uitgesloten, worden deze niet beïnvloed door geautomatiseerde acties die worden geactiveerd door een aanvalsonderbreking.

Voorzichtigheid

Het wordt niet aanbevolen assets uit te sluiten van geautomatiseerde antwoorden. Het uitsluiten van assets van geautomatiseerde reacties kan de effectiviteit van automatische aanvalsonderbreking verminderen bij het beschermen van uw omgeving tegen geavanceerde aanvallen met een hoge impact.

Vereisten

Als u assets wilt uitsluiten van geautomatiseerde reacties bij automatische aanvalsonderbreking, moet een van de volgende rollen zijn toegewezen in Microsoft Entra ID (https://portal.azure.com) of in de Microsoft 365-beheercentrum (https://admin.microsoft.com):

  • Globale beheerder
  • Beveiligingsbeheerder

Automatische antwoorduitsluitingen voor assets controleren of wijzigen

Als u assets wilt uitsluiten van geautomatiseerde reacties bij automatische aanvalsonderbreking, voert u de volgende stappen uit:

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.

  2. Ga naar Instellingen>Microsoft Defender XDR.

Gebruikersaccounts uitsluiten

  1. Selecteer identiteiten onder Geautomatiseerd antwoord.

  2. Als u een gebruikersaccount wilt uitsluiten, selecteert u Uitsluiting van gebruiker toevoegen. Er wordt een flyoutvenster weergegeven.

    Pagina Identiteiten in de instellingen voor geautomatiseerde reacties op onderbrekingen van aanvallen

  3. Voer in het flyoutvenster de namen van gebruikersaccounts in het vak Gebruikers selecteren in en selecteer de gebruikersaccounts die u wilt uitsluiten.

    Flyoutdeelvenster bij het toevoegen en selecteren van gebruikers die moeten worden uitgesloten in de instellingen voor geautomatiseerde reacties voor onderbrekingen van aanvallen

  4. Selecteer Gebruikers uitsluiten om de uitsluiting op te slaan.

Apparaatgroepen uitsluiten

Voorzichtigheid

Het uitsluiten van apparaatgroepen van geautomatiseerde antwoorden heeft ook invloed op geautomatiseerde onderzoeks- en reactieacties .

  1. Selecteer onder Geautomatiseerde antwoordende optie Apparaten.

  2. Kies op het tabblad Apparaatgroepen een apparaatgroep door het selectievakje naast de groepsnaam in de lijst in te schakelen om instellingen voor automatisering van aanvalsonderbrekingen te configureren.

    Tabblad Apparaatgroepen in de instellingen voor geautomatiseerde reacties op onderbrekingen van aanvallen

  3. Selecteer in het flyoutvenster het juiste automatiseringsniveau voor de apparaatgroep. U kunt kiezen uit een van de volgende automatiseringsniveaus die geschikt zijn voor uw apparaatgroep:

    • Volledig: bedreigingen automatisch herstellen: bevatten automatisch apparaten wanneer er een bedreiging wordt gedetecteerd.
    • Semi: goedkeuring vereisen voor kernmappen: apparaten automatisch onderzoeken wanneer er een waarschuwing wordt ontvangen en herstelacties toepassen, behalve op items in hoofdmappen van het systeem. Herstelacties voor de kernmappen moeten worden goedgekeurd.
    • Semi- goedkeuring vereisen voor niet-tijdelijke mappen: automatisch onderzoeken en herstel toepassen op acties in tijdelijke mappen en downloaden wanneer er een waarschuwing wordt ontvangen. Voor alle andere herstelacties is goedkeuring vereist.
    • Semi: goedkeuring vereisen voor alle mappen: apparaten automatisch onderzoeken wanneer er een waarschuwing wordt ontvangen. Voor alle herstelacties is goedkeuring vereist.
    • Geen geautomatiseerd antwoord: er wordt geen geautomatiseerd onderzoek of antwoord uitgevoerd voor apparaten in deze groep.

    Flyoutdeelvenster bij het configureren van automatiseringsniveaus voor een apparaatgroep

  4. Selecteer Opslaan om het automatiseringsniveau voor de apparaatgroep op te slaan.

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product, dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen expliciete of impliciete garanties met betrekking tot de informatie die hier wordt verstrekt.

IP-adressen uitsluiten

  1. Selecteer onder Geautomatiseerde antwoordende optie Apparaten.

  2. Selecteer ip-adres uitsluiten op het tabblad IP-adressen om een IP-adres uit te sluiten.

    Tabblad IP's in de instellingen voor geautomatiseerde reacties op onderbrekingen van aanvallen

  3. Voer in het flyoutvenster het IP-adres/IP-bereik/IP-subnet in dat u wilt uitsluiten. U kunt meerdere IP-adressen en IP-subnetten toevoegen door ze te scheiden met een komma.

    Flyoutdeelvenster bij het toevoegen van IP-adressen om uit te sluiten in de instellingen voor geautomatiseerde reacties voor onderbrekingen van aanvallen

  4. Voeg een naam en notitie toe voor de uitsluiting. Selecteer Maken om de uitsluiting op te slaan.

Uitsluitingen verwijderen

Een uitsluiting verwijderen:

  • Ga naar de pagina Identiteiten . Selecteer het gebruikersaccount dat u wilt verwijderen in de lijst en selecteer vervolgens Verwijderen.

De verwijderingsoptie markeren bij het verwijderen van een uitgesloten gebruiker op de pagina Identiteiten van de instellingen voor het onderbreken van aanvallen

  • Ga naar de pagina Apparaten en navigeer naar het tabblad IP-adressen . Selecteer het IP-adres dat u wilt verwijderen in de lijst en selecteer vervolgens Uitsluiting verwijderen.

De verwijderingsoptie markeren bij het verwijderen van een uitgesloten IP-adres op het IP-tabblad van de instellingen voor automatisering van aanvalsonderbreking

  • Uitsluitingen van apparaatgroepen kunnen worden geconfigureerd op het tabblad Apparaatgroepen . Selecteer de apparaatgroep die u wilt configureren in de lijst en kies de juiste uitsluiting in het flyoutvenster. Selecteer Opslaan om de uitsluiting op te slaan.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.