Настройка исключений в Defender для обнаружения удостоверений в Microsoft Defender XDR
В этой статье объясняется, как настроить исключения обнаружения Microsoft Defender для удостоверений в Microsoft Defender XDR.
Microsoft Defender для удостоверений позволяет исключить определенные IP-адреса, компьютеры, домены или пользователей из ряда обнаружений.
Например, оповещение о рекогносцировки DNS может быть активировано сканером безопасности, который использует DNS в качестве механизма сканирования. Создание исключения помогает Defender для удостоверений игнорировать такие сканеры и уменьшить количество ложных срабатываний.
Примечание.
Вместо исключений рекомендуется настроить оповещение . Правила настройки оповещений обеспечивают более детализированные условия, чем исключения, и позволяют просматривать настроенные оповещения.
Примечание.
Из наиболее распространенных доменов с подозрительным обменом данными через оповещения DNS , открытые на них, мы наблюдали домены, которые клиенты чаще всего исключили из оповещения. Эти домены добавляются в список исключений по умолчанию, но их можно легко удалить.
Добавление исключений обнаружения
В Microsoft Defender XDR перейдите в раздел Параметры, а затем — Удостоверения.
В меню слева вы увидите исключенные сущности .
Затем можно задать исключения двумя способами: исключения по правилу обнаружения и глобальные исключенные сущности.
Исключения по правилу обнаружения
В меню слева выберите Исключения по правилу обнаружения. Вы увидите список правил обнаружения.
Для каждого обнаружения, которое требуется настроить, выполните следующие действия.
Выберите правило. Поиск обнаружения можно выполнить с помощью панели поиска. После выбора откроется панель со сведениями о правиле обнаружения.
Чтобы добавить исключение, нажмите кнопку Исключенные сущности , а затем выберите тип исключения. Для каждого правила доступны разные исключенные сущности. К ним относятся пользователи, устройства, домены и IP-адреса. В этом примере выбраны варианты Исключить устройства и Исключить IP-адреса.
Выбрав тип исключения, можно добавить исключение. В открывающейся области нажмите кнопку + , чтобы добавить исключение.
Затем добавьте сущность для исключения. Выберите + Добавить , чтобы добавить сущность в список.
Затем выберите Исключить IP-адреса (в этом примере), чтобы завершить исключение.
После добавления исключений можно экспортировать список или удалить исключения, вернувшись к кнопке Исключенные сущности . В этом примере мы вернулись к разделу Исключить устройства. Чтобы экспортировать список, нажмите кнопку со стрелкой вниз.
Чтобы удалить исключение, выберите исключение и щелкните значок корзины.
Глобальные исключенные сущности
Теперь можно также настроить исключения для глобальных исключенных сущностей. Глобальные исключения позволяют определить определенные сущности (IP-адреса, подсети, устройства или домены), которые будут исключены во всех обнаружениях, которые есть в Defender для удостоверений. Например, если исключить устройство, оно будет применяться только к тем обнаружениям, которые имеют идентификацию устройства в рамках обнаружения.
В меню слева выберите Глобальные исключенные сущности. Вы увидите категории сущностей, которые можно исключить.
Выберите тип исключения. В этом примере мы выбрали исключить домены.
Откроется панель, в которой можно добавить домен для исключения. Добавьте домен, который нужно исключить.
Домен будет добавлен в список. Выберите Исключить домены , чтобы завершить исключение.
Затем вы увидите домен в списке сущностей, которые будут исключены из всех правил обнаружения. Вы можете экспортировать список или удалить сущности, выбрав их и нажав кнопку Удалить .
