Configurar exclusões de deteção do Defender para Identidade no Microsoft Defender XDR

Este artigo explica como configurar exclusões de deteção de Microsoft Defender para Identidade no Microsoft Defender XDR.

Microsoft Defender para Identidade permite a exclusão de endereços IP, computadores, domínios ou utilizadores específicos de várias deteções.

Por exemplo, um alerta de Reconhecimento DNS pode ser acionado por um detetor de segurança que utiliza o DNS como um mecanismo de análise. A criação de uma exclusão ajuda o Defender para Identidade a ignorar esses scanners e a reduzir os falsos positivos.

Observação

Recomendamos que ajuste um alerta em vez de utilizar exclusões. As regras de otimização de alertas permitem condições mais granulares do que as exclusões e permitem-lhe rever os alertas que foram otimizados.

Observação

Dos domínios mais comuns com Comunicação suspeita através de alertas DNS abertos nos mesmos, observámos os domínios que os clientes mais excluíram do alerta. Estes domínios são adicionados à lista de exclusões por predefinição, mas tem a opção de os remover facilmente.

Como adicionar exclusões de deteção

1. No Microsoft Defender XDR, aceda a Definições e, em seguida, Identidades.

   

2. Em seguida, verá Entidades excluídas no menu do lado esquerdo.

   

   Em seguida, pode definir exclusões por dois métodos: Exclusões por regra de deteção e Entidades excluídas globais.

Exclusões por regra de deteção

1. No menu esquerdo, selecione Exclusões por regra de deteção. Verá uma lista de regras de deteção.

   

2. Para cada deteção que pretende configurar, siga os seguintes passos:

   1. Selecione a regra. Pode procurar deteções através da barra de pesquisa. Depois de selecionado, será aberto um painel com os detalhes da regra de deteção.

      

   2. Para adicionar uma exclusão, selecione o botão Entidades excluídas e, em seguida, escolha o tipo de exclusão. Estão disponíveis diferentes entidades excluídas para cada regra. Incluem utilizadores, dispositivos, domínios e endereços IP. Neste exemplo, as opções são Excluir dispositivos e Excluir endereços IP.

      

   3. Depois de escolher o tipo de exclusão, pode adicionar a exclusão. No painel que é aberto, selecione o + botão para adicionar a exclusão.

      

   4. Em seguida, adicione a entidade a ser excluída. Selecione + Adicionar para adicionar a entidade à lista.

      

   5. Em seguida, selecione Excluir endereços IP (neste exemplo) para concluir a exclusão.

      

   6. Depois de adicionar exclusões, pode exportar a lista ou remover as exclusões ao regressar ao botão Entidades excluídas . Neste exemplo, voltamos a Excluir dispositivos. Para exportar a lista, selecione o botão de seta para baixo.

      

   7. Para eliminar uma exclusão, selecione a exclusão e selecione o ícone de lixo.

      

Entidades global excluídas

Agora também pode configurar exclusões por Entidades excluídas globais. As exclusões globais permitem definir determinadas entidades (endereços IP, sub-redes, dispositivos ou domínios) para serem excluídas em todas as deteções que o Defender para Identidade tem. Por exemplo, se excluir um dispositivo, este só será aplicado às deteções que têm a identificação do dispositivo como parte da deteção.

1. No menu esquerdo, selecione Entidades excluídas globais. Verá as categorias de entidades que pode excluir.

   

2. Escolha um tipo de exclusão. Neste exemplo, selecionámos Excluir domínios.

   

3. Será aberto um painel onde pode adicionar um domínio a ser excluído. Adicione o domínio que pretende excluir.

   

4. O domínio será adicionado à lista. Selecione Excluir domínios para concluir a exclusão.

   

5. Em seguida, verá o domínio na lista de entidades a excluir de todas as regras de deteção. Pode exportar a lista ou remover as entidades ao selecioná-las e selecionar o botão Remover .

   

Próximas etapas

• Configurar a recolha de eventos
• Consulte o fórum do Defender para Identidade!