Configurar exclusões de detecção do Defender para Identidade no Microsoft Defender XDR
Este artigo explica como configurar exclusões de detecção do Microsoft Defender para Identidade no Microsoft Defender XDR.
O Microsoft Defender para Identidade permite a exclusão de endereços IP, computadores, domínios ou usuários específicos de várias detecções.
Por exemplo, um alerta de Reconhecimento pelo DNS pode ser disparado por um verificador de segurança que usa o DNS como mecanismo de verificação. A criação de uma exclusão ajuda o Defender para Identidade a ignorar esses verificadores e reduzir falsos positivos.
Observação
Recomendamos que você ajuste um alerta em vez de usar exclusões. As regras de ajuste de alertas permitem condições mais granulares do que exclusões e permitem que você revise os alertas que foram ajustados.
Observação
Entre os domínios mais comuns com alertas de Comunicação suspeita por DNS abertos neles, observamos aqueles que os clientes mais excluíram do alerta. Esses domínios estão incluídos na lista de exclusões por padrão, mas você tem a opção de removê-los facilmente.
Como adicionar exclusões de detecção
No Microsoft Defender XDR, vá para Configurações e depois Identidades.
Em seguida, você verá Entidades excluídas no menu à esquerda.
É possível definir exclusões usando dois métodos: Exclusões por regra de detecção e Entidades excluídas globais.
Exclusões por regra de detecção
No menu à esquerda, selecione Exclusões por regra de detecção. Você verá uma lista de regras de detecção.
Para cada detecção a configurar, execute as seguintes etapas:
Selecione a regra. Você pode procurar detecções usando a barra de pesquisa. Depois de selecionada, um painel será aberto com os detalhes da regra de detecção.
Para adicionar uma exclusão, selecione o botão Entidades excluídas e escolha o tipo de exclusão. Diferentes entidades excluídas estão disponíveis para cada regra. Elas incluem usuários, dispositivos, domínios e endereços IP. Neste exemplo, as opções são Excluir dispositivos e Excluir endereços IP.
Depois de escolher o tipo de exclusão, você pode adicionar a exclusão. No painel que é aberto, selecione o botão + para adicionar a exclusão.
Em seguida, adicione a entidade a ser excluída. Selecione + Adicionar para adicionar a entidade à lista.
Em seguida, selecione Excluir endereços IP (neste exemplo) para concluir a exclusão.
Depois de adicionar as exclusões, você pode exportar a lista ou remover as exclusões retornando ao botão Entidades excluídas. Neste exemplo, retornamos a Excluir dispositivos. Para exportar a lista, selecione o botão de seta para baixo.
Para remover uma exclusão, selecione a exclusão e selecione o ícone de lixeira.
Entidades excluídas globais
Agora você também pode configurar exclusões por Entidades excluídas globais. As exclusões globais permitem que você defina determinadas entidades (endereços IP, sub-redes, dispositivos ou domínios) para serem excluídas em todas as detecções do Defender para Identidade. Assim, por exemplo, se você excluir um dispositivo, ele só se aplicará às detecções que tiverem a identificação do dispositivo como parte da detecção.
No menu à esquerda, selecione Entidades excluídas globais. Você verá as categorias de entidades que pode excluir.
Escolha um tipo de exclusão. Neste exemplo, selecionamos Excluir domínios.
Um painel será aberto onde você pode adicionar um domínio a ser excluído. Adicione o domínio a excluir.
O domínio será adicionado à lista. Selecione Excluir domínios para concluir a exclusão.
Em seguida, você verá o domínio na lista de entidades a serem excluídas de todas as regras de detecção. Você pode exportar a lista ou remover as entidades escolhendo-as e selecionando o botão Remover.
