Поделиться через

Исключение ресурсов из автоматических ответов при автоматическом прерывании атак

  • Статья
  • Применяется к:
    Microsoft Defender XDR

В этой статье содержатся сведения о том, как исключить ресурсы из автоматического сдерживания из-за нарушения автоматической атаки в Microsoft Defender XDR.

Автоматическое нарушение атаки позволяет исключить определенные учетные записи пользователей, устройства и IP-адреса из автоматических действий по сдерживанию. После исключения эти ресурсы не будут затронуты автоматическими действиями, вызванными нарушением атаки.

Предостережение

Исключать ресурсы из автоматических ответов не рекомендуется. Исключение ресурсов из автоматизированных ответов может снизить эффективность нарушения автоматической атаки при защите среды от сложных атак с высоким воздействием.

Предварительные условия

Чтобы исключить ресурсы из автоматических ответов при автоматическом прерывании атак, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID (https://portal.azure.com) или в Центр администрирования Microsoft 365 (https://admin.microsoft.com):

  • Глобальный администратор
  • Администратор безопасности

Проверка или изменение исключений автоматического ответа для ресурсов

Чтобы исключить ресурсы из автоматических ответов при автоматическом прерывании атак, выполните следующие действия.

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. Перейдите в раздел Параметры>Microsoft Defender XDR.

Исключить учетные записи пользователей

  1. В разделе Автоматический ответ выберите Удостоверения.

  2. Чтобы исключить учетную запись пользователя, выберите Добавить исключение пользователя. Откроется всплывающий элемент.

    Страница

  3. Во всплывающей области введите имена учетных записей пользователей в поле Выбор пользователей и выберите учетные записи пользователей, которые нужно исключить.

    Всплывающее меню при добавлении и выборе пользователей для исключения в параметрах автоматического реагирования на нарушение атаки

  4. Выберите Исключить пользователей , чтобы сохранить исключение.

Исключить группы устройств

Предостережение

Исключение групп устройств из автоматических ответов также влияет на автоматическое исследование и действия по реагированию .

  1. В разделе Автоматические ответы выберите Устройства.

  2. На вкладке Группы устройств выберите группу устройств, установив флажок рядом с именем группы в списке, чтобы настроить параметры автоматизации прерывания атак.

    Вкладка

  3. Во всплывающей области выберите соответствующий уровень автоматизации для группы устройств. Вы можете выбрать один из следующих уровней автоматизации, подходящих для вашей группы устройств:

    • Полное — автоматическое исправление угроз: автоматически содержать устройства при обнаружении угрозы.
    • Частично — требуется утверждение для основных папок. Автоматическое исследование устройств при получении оповещения и применение действий по исправлению, кроме элементов в основных системных папках. Действия по исправлению для основных папок требуют утверждения.
    • Semi — требуется утверждение для папок, отличных от временных. Автоматически исследовать и применять исправление к действиям в временных папках и папках загрузки при получении оповещения. Все остальные действия по исправлению требуют утверждения.
    • Semi — требуется утверждение для всех папок. Автоматическое исследование устройств при получении оповещения. Все действия по исправлению требуют утверждения.
    • Нет автоматического ответа. Для устройств в этой группе не выполняется автоматическое исследование или ответ.

    Всплывающее меню при настройке уровней автоматизации для группы устройств

  4. Нажмите кнопку Сохранить , чтобы сохранить уровень автоматизации для группы устройств.

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенном продукту, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Исключить IP-адреса

  1. В разделе Автоматические ответы выберите Устройства.

  2. На вкладке IP-адреса выберите Исключить IP-адрес , чтобы исключить IP-адрес.

    Вкладка IP-адресов в параметрах автоматического реагирования для прерывания атаки

  3. Во всплывающей области введите IP-адрес, диапазон IP-адресов или IP-подсеть, которую нужно исключить. Можно добавить несколько IP-адресов и IP-подсетей, разделив их запятой.

    Всплывающее меню при добавлении IP-адресов, которые следует исключить в параметрах автоматического реагирования на нарушение атаки

  4. Добавьте имя и примечание для исключения. Нажмите кнопку Создать , чтобы сохранить исключение.

Удаление исключений

Чтобы удалить исключение, выполните приведенные далее действия.

  • Перейдите на страницу Удостоверения . Выберите учетную запись пользователя, которую нужно удалить, из списка, и нажмите кнопку Удалить.

Выделение параметра удаления при удалении исключенного пользователя на странице Удостоверения параметров автоматизации нарушения атак

  • Перейдите на страницу Устройства и перейдите на вкладку IP-адреса . Выберите IP-адрес, который нужно удалить из списка, а затем выберите Удалить исключение.

Выделение параметра удаления при удалении исключенного IP-адреса на вкладке IP-адреса параметров автоматизации нарушения атак

  • Исключения групп устройств можно настроить на вкладке Группы устройств . Выберите группу устройств, которую нужно настроить, в списке и выберите соответствующее исключение во всплывающей области. Нажмите кнопку Сохранить , чтобы сохранить исключение.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.