Konfigurowanie wykluczeń wykrywania tożsamości w usłudze Defender w Microsoft Defender XDR
W tym artykule wyjaśniono, jak skonfigurować wykluczenia wykrywania Microsoft Defender for Identity w Microsoft Defender XDR.
Microsoft Defender for Identity umożliwia wykluczenie określonych adresów IP, komputerów, domen lub użytkowników z wielu wykryć.
Na przykład alert rekonesansu DNS może zostać wyzwolony przez skaner zabezpieczeń, który używa systemu DNS jako mechanizmu skanowania. Utworzenie wykluczenia pomaga usłudze Defender for Identity zignorować takie skanery i zmniejszyć liczbę wyników fałszywie dodatnich.
Uwaga
Zalecamy dostrojenie alertu zamiast używania wykluczeń. Reguły dostrajania alertów umożliwiają bardziej szczegółowe warunki niż wykluczenia i umożliwiają przeglądanie alertów, które zostały dostrojone.
Uwaga
Spośród najpopularniejszych domen z otwartą na nich podejrzaną komunikacją za pośrednictwem alertów DNS zaobserwowaliśmy domeny, które klienci najbardziej wykluczyli z alertu. Te domeny są domyślnie dodawane do listy wykluczeń, ale można je łatwo usunąć.
Jak dodać wykluczenia wykrywania
W Microsoft Defender XDR przejdź do pozycji Ustawienia, a następnie pozycję Tożsamości.
Następnie zobaczysz pozycję Wykluczone jednostki w menu po lewej stronie.
Następnie można ustawić wykluczenia według dwóch metod: wykluczenia według reguły wykrywania i globalne wykluczone jednostki.
Wykluczenia według reguły wykrywania
W menu po lewej stronie wybierz pozycję Wykluczenia według reguły wykrywania. Zostanie wyświetlona lista reguł wykrywania.
Dla każdego wykrywania, które chcesz skonfigurować, wykonaj następujące kroki:
Wybierz regułę. Wykrywanie można wyszukiwać przy użyciu paska wyszukiwania. Po wybraniu zostanie otwarte okienko ze szczegółami reguły wykrywania.
Aby dodać wykluczenie, wybierz przycisk Wykluczone jednostki , a następnie wybierz typ wykluczenia. Dla każdej reguły są dostępne różne wykluczone jednostki. Obejmują one użytkowników, urządzenia, domeny i adresy IP. W tym przykładzie dostępne są opcje Wykluczanie urządzeń i Wykluczanie adresów IP.
Po wybraniu typu wykluczenia można dodać wykluczenie. W otwartym okienku wybierz + przycisk , aby dodać wykluczenie.
Następnie dodaj jednostkę do wykluczenia. Wybierz pozycję + Dodaj , aby dodać jednostkę do listy.
Następnie wybierz pozycję Wyklucz adresy IP (w tym przykładzie), aby zakończyć wykluczanie.
Po dodaniu wykluczeń możesz wyeksportować listę lub usunąć wykluczenia, wracając do przycisku Wykluczone jednostki . W tym przykładzie wróciliśmy do pozycji Wyklucz urządzenia. Aby wyeksportować listę, wybierz przycisk strzałki w dół.
Aby usunąć wykluczenie, wybierz wykluczenie i wybierz ikonę kosza.
Jednostki wykluczone globalnie
Teraz można również skonfigurować wykluczenia przez globalne wykluczone jednostki. Wykluczenia globalne umożliwiają definiowanie niektórych jednostek (adresów IP, podsieci, urządzeń lub domen), które mają zostać wykluczone we wszystkich wykrywaniach usługi Defender for Identity. Jeśli na przykład wykluczysz urządzenie, będzie ono miało zastosowanie tylko do tych wykryć, które mają identyfikację urządzenia w ramach wykrywania.
W menu po lewej stronie wybierz pozycję Globalne wykluczone jednostki. Zobaczysz kategorie jednostek, które można wykluczyć.
Wybierz typ wykluczenia. W tym przykładzie wybraliśmy pozycję Wyklucz domeny.
Zostanie otwarte okienko, w którym można dodać domenę do wykluczenia. Dodaj domenę, którą chcesz wykluczyć.
Domena zostanie dodana do listy. Wybierz pozycję Wyklucz domeny, aby ukończyć wykluczenie.
Domena zostanie następnie wyświetlona na liście jednostek, które mają zostać wykluczone ze wszystkich reguł wykrywania. Możesz wyeksportować listę lub usunąć jednostki, wybierając je i wybierając przycisk Usuń .
