在 Microsoft Defender XDR 中配置 Defender for Identity 检测排除

本文介绍了如何在 Microsoft Defender XDR 中配置 Microsoft Defender for Identity 检测排除。

Microsoft Defender for Identity 允许一系列检测中排除特定 IP 地址、计算机、域或用户。

例如,DNS 侦查警报可由使用 DNS 扫描机制的安全扫描程序触发。 创建排除有助于 Defender for Identity 忽略此类扫描程序并减少误报。

注意

建议您优化警报,而不是使用排除项。 警报优化规则可实现比排除项更精细的条件,并允许您查看已优化的警报。

注意

在打开了通过 DNS 的可疑通信警报的最常见域中,我们观察到客户最常从警报中排除的域。 这些域默认添加到排除列表中,但可以选择轻松将其移除。

如何添加检测排除

  1. Microsoft Defender XDR 中,依次转至设置标识

    Go to Settings, then Identities.

  2. 左侧菜单中随即显示已排除实体

    Excluded entities.

    然后,可以通过两种方法设置排除:按检测规则排除全局排除的实体

按检测规则排除

  1. 在左侧菜单中,选择按检测规则排除。 随即显示一列检测规则。

    Exclusions by detection rule.

  2. 对于要配置的每个检测,请执行以下步骤:

    1. 选择规则。 可以使用搜索栏搜索检测。 在进行选择后,将打开一个窗格并显示检测规则详细信息。

      Detection rule details.

    2. 要添加排除,选择已排除实体按钮,然后选择排除类型。 每个规则都具有不同的可用已排除实体。 其中包括用户、设备、域和 IP 地址。 在此示例中,选择了排除设备排除 IP 地址

      Exclude devices or IP addresses.

    3. 在选择排除类型后,可以添加排除。 在打开的窗格中,选择 + 按钮已添加排除。

      Add an exclusion.

    4. 然后添加要排除的实体。 选择 + 添加将实体添加到列表中。

      Add an entity to be excluded.

    5. 然后选择排除 IP 地址(在此示例中)完成排除。

      Exclude IP addresses.

    6. 在添加排除后,可导出列表或通过返回到已排除实体按钮移除排除。 在此示例中,我们已返回到排除设备。 要导出列表,选择下箭头按钮。

      Return to Exclude devices.

    7. 要删除排除,选择排除并选择回收站图标。

      Delete an exclusion.

全局排除实体

现在,还可以按全局排除的实体配置排除。 全局排除允许在 Defender for Identity 的所有检测中定义要排除的某些实体(IP 地址、子网、设备或域)。 例如,如果排除某个设备,则该排除仅适用于包含设备标识的检测。

  1. 在左侧菜单中,选择全局排除的实体。 随即显示可排除的实体类别。

    Global excluded entities.

  2. 选择排除类型。 在此示例中,我们选择了排除域

    Exclude domains.

  3. 随即打开一个窗格,可在其中添加要排除的域。 添加要排除的域。

    Add a domain to be excluded.

  4. 该域将添加到列表中。 选择排除域完成排除。

    Select exclude domains.

  5. 该域随即出现在要从所有检测规则中排除的实体列表中。 可导出列表或通过选择实体并选择移除按钮移除实体。

    List of global excluded entries.

后续步骤