Konfigurera defender för identitetsidentifieringsundantag i Microsoft Defender XDR

Den här artikeln beskriver hur du konfigurerar Microsoft Defender for Identity identifieringsundantag i Microsoft Defender XDR.

Microsoft Defender for Identity gör det möjligt att undanta specifika IP-adresser, datorer, domäner eller användare från ett antal identifieringar.

En DNS-rekognoseringsavisering kan till exempel utlösas av en säkerhetsskanner som använder DNS som en genomsökningsmekanism. Genom att skapa ett undantag kan Defender for Identity ignorera sådana skannrar och minska falska positiva identifieringar.

Obs!

Vi rekommenderar att du justerar en avisering i stället för att använda undantag. Regler för aviseringsjustering tillåter mer detaljerade villkor än undantag och gör att du kan granska aviseringarna som har finjusterats.

Obs!

Av de vanligaste domänerna med misstänkt kommunikation via DNS-aviseringar som öppnats på dem observerade vi de domäner som kunderna mest exkluderade från aviseringen. Dessa domäner läggs som standard till i undantagslistan, men du har möjlighet att enkelt ta bort dem.

Lägga till identifieringsundantag

1. I Microsoft Defender XDR går du till Inställningar och sedan Identiteter.

   

2. Sedan visas Exkluderade entiteter på den vänstra menyn.

   

   Du kan sedan ange undantag med två metoder: Undantag efter identifieringsregel och Globala undantagna entiteter.

Undantag efter identifieringsregel

1. I den vänstra menyn väljer du Undantag efter identifieringsregel. Du ser en lista över identifieringsregler.

   

2. Gör följande för varje identifiering som du vill konfigurera:

   1. Välj regeln. Du kan söka efter identifieringar med hjälp av sökfältet. När det är markerat öppnas ett fönster med information om identifieringsregeln.

      

   2. Om du vill lägga till ett undantag väljer du knappen Exkluderade entiteter och väljer sedan undantagstypen. Olika exkluderade entiteter är tillgängliga för varje regel. De omfattar användare, enheter, domäner och IP-adresser. I det här exemplet är alternativen Exkludera enheter och Exkludera IP-adresser.

      

   3. När du har valt undantagstyp kan du lägga till undantaget. I fönstret som öppnas väljer du + knappen för att lägga till undantaget.

      

   4. Lägg sedan till entiteten som ska undantas. Välj + Lägg till för att lägga till entiteten i listan.

      

   5. Välj sedan Exkludera IP-adresser (i det här exemplet) för att slutföra undantaget.

      

   6. När du har lagt till undantag kan du exportera listan eller ta bort undantagen genom att gå tillbaka till knappen Exkluderade entiteter . I det här exemplet har vi återvänt till Exkludera enheter. Om du vill exportera listan väljer du nedåtpilen.

      

   7. Om du vill ta bort ett undantag väljer du undantaget och väljer papperskorgsikonen.

      

Globala undantagna entiteter

Nu kan du även konfigurera undantag av globala undantagsentiteter. Med globala undantag kan du definiera vissa entiteter (IP-adresser, undernät, enheter eller domäner) som ska undantas för alla identifieringar som Defender for Identity har. Om du till exempel exkluderar en enhet gäller den bara för de identifieringar som har enhetsidentifiering som en del av identifieringen.

1. I den vänstra menyn väljer du Globala undantagna entiteter. Du ser de kategorier av entiteter som du kan exkludera.

   

2. Välj en exkluderingstyp. I det här exemplet har vi valt Exkludera domäner.

   

3. Ett fönster öppnas där du kan lägga till en domän som ska undantas. Lägg till den domän som du vill exkludera.

   

4. Domänen läggs till i listan. Välj Exkludera domäner för att slutföra undantaget.

   

5. Sedan visas domänen i listan över entiteter som ska undantas från alla identifieringsregler. Du kan exportera listan eller ta bort entiteterna genom att välja dem och välja knappen Ta bort .

   

Nästa steg

• Konfigurera händelsesamling
• Kolla in Defender for Identity-forumet!