Udostępnij za pośrednictwem

Wykluczanie zasobów z automatycznych odpowiedzi w automatycznym zakłóceniu ataku

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR

Ten artykuł zawiera informacje na temat wykluczania zasobów z automatycznego dołączania przez automatyczne zakłócenia ataków w Microsoft Defender XDR.

Automatyczne zakłócenie ataku umożliwia wykluczenie określonych kont użytkowników, urządzeń i adresów IP z automatycznych akcji powstrzymywania. Po wykluczeniu na te zasoby nie będą miały wpływu zautomatyzowane akcje wyzwalane przez zakłócenia ataku.

Uwaga

Wykluczanie zasobów z automatycznych odpowiedzi nie jest zalecane. Wykluczenie zasobów z automatycznych odpowiedzi może zmniejszyć skuteczność automatycznych zakłóceń ataków w ochronie środowiska przed zaawansowanymi atakami o dużym wpływie.

Wymagania wstępne

Aby wykluczyć zasoby z automatycznych odpowiedzi w przypadku automatycznego zakłócenia ataku, musisz mieć jedną z następujących ról przypisanych do Tożsamość Microsoft Entra (https://portal.azure.com) lub w Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com):

  • Administrator globalny
  • Administrator zabezpieczeń

Przeglądanie lub zmienianie automatycznych wykluczeń odpowiedzi dla zasobów

Aby wykluczyć zasoby z automatycznych odpowiedzi w przypadku automatycznego zakłócenia ataku, wykonaj następujące kroki:

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.

  2. Przejdź do pozycji Ustawienia>Microsoft Defender XDR.

Wykluczanie kont użytkowników

  1. W obszarze Automatyczna odpowiedź wybierz pozycję Tożsamości.

  2. Aby wykluczyć konto użytkownika, wybierz pozycję Dodaj wykluczenie użytkownika. Zostanie wyświetlone okienko wysuwane.

    Strona Tożsamości w ustawieniach automatycznej reakcji na zakłócenia ataku

  3. W okienku wysuwanym wprowadź nazwy kont użytkowników w polu Wybierz użytkowników i wybierz konta użytkowników, które chcesz wykluczyć.

    Okienko wysuwane podczas dodawania i wybierania użytkowników do wykluczenia w ustawieniach automatycznej odpowiedzi na zakłócenia ataku

  4. Wybierz pozycję Wyklucz użytkowników , aby zapisać wykluczenie.

Wykluczanie grup urządzeń

Uwaga

Wykluczenie grup urządzeń z automatycznych odpowiedzi ma również wpływ na zautomatyzowane badania i akcje reagowania .

  1. W obszarze Odpowiedzi automatyczne wybierz pozycję Urządzenia.

  2. Na karcie Grupy urządzeń wybierz grupę urządzeń, zaznaczając pole wyboru obok nazwy grupy z listy, aby skonfigurować ustawienia automatyzacji zakłóceń ataku.

    Karta Grupy urządzeń w ustawieniach automatycznego reagowania na zakłócenia ataku

  3. W okienku wysuwanym wybierz odpowiedni poziom automatyzacji dla grupy urządzeń. Możesz wybrać jeden z następujących poziomów automatyzacji odpowiednich dla grupy urządzeń:

    • Pełne — automatyczne korygowanie zagrożeń: automatycznie zawiera urządzenia po wykryciu zagrożenia.
    • Semi — wymaga zatwierdzenia dla folderów podstawowych: automatycznie badaj urządzenia po odebraniu alertu i stosuj akcje korygowania z wyjątkiem elementów w podstawowych folderach systemowych. Akcje korygowania dla folderów podstawowych wymagają zatwierdzenia.
    • Semi — wymaga zatwierdzenia dla folderów innych niż tymczasowe: automatycznie zbadaj i zastosuj korygowanie do akcji w folderach tymczasowych i pobierania po otrzymaniu alertu. Wszystkie inne akcje korygowania wymagają zatwierdzenia.
    • Semi — wymaga zatwierdzenia dla wszystkich folderów: automatycznie badaj urządzenia po otrzymaniu alertu. Wszystkie akcje korygowania wymagają zatwierdzenia.
    • Brak automatycznej odpowiedzi: nie jest wykonywane zautomatyzowane badanie ani reagowanie na urządzenia w tej grupie.

    Okienko wysuwane podczas konfigurowania poziomów automatyzacji dla grupy urządzeń

  4. Wybierz pozycję Zapisz , aby zapisać poziom automatyzacji dla grupy urządzeń.

Ważna

Niektóre informacje w tym artykule odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji wyrażonych ani dorozumianych w odniesieniu do informacji podanych tutaj.

Wykluczanie adresów IP

  1. W obszarze Odpowiedzi automatyczne wybierz pozycję Urządzenia.

  2. Na karcie Adresy IP wybierz pozycję Wyklucz adres IP , aby wykluczyć adres IP.

    Karta Adresy IP w ustawieniach automatycznej reakcji na zakłócenia ataku

  3. W okienku wysuwanego wprowadź podsieć adres IP/zakres IP/adres IP, którą chcesz wykluczyć. Możesz dodać wiele adresów IP i podsieci IP, oddzielając je przecinkami.

    Okienko wysuwane podczas dodawania adresów IP do wykluczenia w ustawieniach automatycznej odpowiedzi na zakłócenia ataku

  4. Dodaj nazwę i notatkę dla wykluczenia. Wybierz pozycję Utwórz , aby zapisać wykluczenie.

Usuwanie wykluczeń

Aby usunąć wykluczenie:

  • Przejdź do strony Tożsamości . Wybierz konto użytkownika, które chcesz usunąć z listy, a następnie wybierz pozycję Usuń.

Wyróżnianie opcji usuwania podczas usuwania wykluczonego użytkownika na stronie Tożsamości ustawień automatyzacji zakłóceń ataku

  • Przejdź do strony Urządzenia i przejdź do karty Adresy IP . Wybierz adres IP, który chcesz usunąć z listy, a następnie wybierz pozycję Usuń wykluczenie.

Wyróżnianie opcji usuwania podczas usuwania wykluczonego adresu IP na karcie ADRES IP ustawień automatyzacji zakłóceń ataku

  • Wykluczenia grup urządzeń można skonfigurować na karcie Grupy urządzeń . Wybierz grupę urządzeń, którą chcesz skonfigurować z listy i wybierz odpowiednie wykluczenie z okienka wysuwanego. Wybierz pozycję Zapisz , aby zapisać wykluczenie.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.