Dela via

Exkludera tillgångar från automatiserade svar vid automatisk attackavbrott

  • Artikel
  • Gäller för:
    Microsoft Defender XDR

Den här artikeln innehåller information om hur du utesluter tillgångar från att automatiskt begränsas av automatiska angreppsstörningar i Microsoft Defender XDR.

Med automatisk attackavbrott kan specifika användarkonton, enheter och IP-adresser undantas från automatiserade inneslutningsåtgärder. När dessa tillgångar har exkluderats påverkas de inte av automatiserade åtgärder som utlöses av attackavbrott.

Försiktighet

Det rekommenderas inte att du utesluter tillgångar från automatiserade svar. Om du exkludera tillgångar från automatiserade svar kan du minska effektiviteten i automatiska angreppsavbrott för att skydda din miljö från avancerade attacker med hög påverkan.

Förhandskrav

Om du vill undanta tillgångar från automatiserade svar vid automatiska angreppsavbrott måste du ha någon av följande roller tilldelade i antingen Microsoft Entra ID (https://portal.azure.com) eller i Administrationscenter för Microsoft 365 (https://admin.microsoft.com):

  • Global administratör
  • Säkerhetsadministratör

Granska eller ändra automatiska svarsundantag för tillgångar

Följ dessa steg om du vill undanta tillgångar från automatiserade svar vid automatiska angreppsavbrott:

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.

  2. Gå till Inställningar>Microsoft Defender XDR.

Exkludera användarkonton

  1. Under Automatiserat svar väljer du Identiteter.

  2. Om du vill exkludera ett användarkonto väljer du Lägg till användarundantag. Ett utfällt fönster visas.

    Sidan Identiteter i inställningarna för automatiserade svar vid attackavbrott

  3. I den utfällbara rutan anger du användarnamnen i rutan Välj användare och väljer de användarkonton som du vill exkludera.

    Utfällt fönster när du lägger till och väljer användare att exkludera i inställningarna för automatiserat svar vid attackavbrott

  4. Välj Exkludera användare för att spara undantaget.

Exkludera enhetsgrupper

Försiktighet

Om enhetsgrupper undantas från automatiserade svar påverkas även automatiska undersöknings- och svarsåtgärder .

  1. Under Automatiserade svar väljer du Enheter.

  2. På fliken Enhetsgrupper väljer du en enhetsgrupp genom att markera kryssrutan bredvid gruppnamnet i listan för att konfigurera automatiseringsinställningar för angreppsstörningar.

    Fliken Enhetsgrupper i inställningarna för automatiserade svar vid attackavbrott

  3. I den utfällbara rutan väljer du lämplig automatiseringsnivå för enhetsgruppen. Du kan välja någon av följande automatiseringsnivåer som är lämpliga för din enhetsgrupp:

    • Fullständig – åtgärda hot automatiskt: Innehåller automatiskt enheter när ett hot identifieras.
    • Semi – kräver godkännande för kärnmappar: Undersöka enheter automatiskt när en avisering tas emot och tillämpa åtgärder förutom på objekt i kärnsystemmappar. Reparationsåtgärder för kärnmapparna kräver godkännande.
    • Semi – kräver godkännande för icke-temporära mappar: Undersöka automatiskt och tillämpa åtgärder i temporära mappar och ladda ned mappar när en avisering tas emot. Alla andra reparationsåtgärder kräver godkännande.
    • Semi – kräver godkännande för alla mappar: Undersöka enheter automatiskt när en avisering tas emot. Alla reparationsåtgärder kräver godkännande.
    • Inget automatiserat svar: Ingen automatiserad undersökning eller inget svar tas för enheter i den här gruppen.

    Utfällt fönster när du konfigurerar automatiseringsnivåer för en enhetsgrupp

  4. Välj Spara för att spara automatiseringsnivån för enhetsgruppen.

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt, som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier uttryckta eller underförstådda med avseende på den information som tillhandahålls här.

Exkludera IP-adresser

  1. Under Automatiserade svar väljer du Enheter.

  2. På fliken IP-adresser väljer du Exkludera IP för att exkludera en IP-adress.

    Fliken IP-adresser i inställningarna för automatiserat svar vid attackavbrott

  3. I den utfällbara rutan anger du den IP-adress/IP-adressintervall/IP-undernät som du vill exkludera. Du kan lägga till flera IP-adresser och IP-undernät genom att avgränsa dem med kommatecken.

    Utfällt fönster när du lägger till IP-adresser som ska undantas i inställningarna för automatiserat svar vid attackavbrott

  4. Lägg till ett namn och en anteckning för undantaget. Välj Skapa för att spara undantaget.

Ta bort undantag

Så här tar du bort ett undantag:

  • Gå till sidan Identiteter . Välj det användarkonto som du vill ta bort från listan och välj sedan Ta bort.

Markera borttagningsalternativet när du tar bort en exkluderad användare på sidan Identiteter i automatiseringsinställningarna för attackavbrott

  • Gå till sidan Enheter och gå till fliken IP-adresser . Välj den IP-adress som du vill ta bort från listan och välj sedan Ta bort undantag.

Markera borttagningsalternativet när du tar bort en exkluderad IP-adress på fliken IP i automatiseringsinställningarna för attackavbrott

  • Undantag för enhetsgrupp kan konfigureras på fliken Enhetsgrupper . Välj den enhetsgrupp som du vill konfigurera i listan och välj lämpligt undantag från det utfällbara fönstret. Spara undantaget genom att välja Spara .

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.