在 Microsoft Defender XDR 中配置 Defender for Identity 检测排除项

本文介绍如何在 Microsoft Defender XDR 中配置Microsoft Defender for Identity检测排除项。

Microsoft Defender for Identity允许从大量检测中排除特定的 IP 地址、计算机、域或用户。

例如， 使用 DNS 作为扫描机制的安全扫描程序可以触发 DNS 侦查警报。 创建排除项可帮助 Defender for Identity 忽略此类扫描程序并减少误报。

注意

建议 优化警报 ，而不是使用排除项。 警报优化规则允许比排除项更精细的条件，并允许查看已优化的警报。

注意

在通过 DNS 警报打开了 可疑通信 的最常见域中，我们观察到了客户最常从警报中排除的域。 默认情况下，这些域会添加到排除列表，但你可以选择轻松删除它们。

如何添加检测排除项

1. 在Microsoft Defender XDR中，依次转到“设置”和“标识”。

   

2. 然后，你将在左侧菜单中看到 “排除的实体 ”。

   

   然后，可以通过两种方法设置排除项： 按检测规则 排除和 全局排除实体。

按检测规则列出的排除项

1. 在左侧菜单中，选择“ 按检测规则排除项”。 你将看到检测规则的列表。

   

2. 对于要配置的每个检测，请执行以下步骤：

   1. 选择规则。 可以使用搜索栏搜索检测。 选择后，将打开一个包含检测规则详细信息的窗格。

      

   2. 若要添加排除项，请选择“ 排除实体 ”按钮，然后选择排除类型。 每个规则可以使用不同的排除实体。 它们包括用户、设备、域和 IP 地址。 在此示例中，选项为 “排除设备” 和 “排除 IP 地址”。

      

   3. 选择排除类型后，可以添加排除项。 在打开的窗格中，选择 + 添加排除项的按钮。

      

   4. 然后添加要排除的实体。 选择“ + 添加” ，将实体添加到列表中。

      

   5. 然后选择“ 排除 IP 地址 (在此示例中) 完成排除。

      

   6. 添加排除项后，可以通过返回到“ 排除 实体”按钮来导出列表或删除排除项。 在此示例中，我们已返回 “排除设备”。 若要导出列表，请选择向下箭头按钮。

      

   7. 若要删除排除项，请选择排除项，然后选择回收站图标。

      

全局排除实体

现在，还可以按 全局排除实体配置排除项。 全局排除允许定义某些实体 (IP 地址、子网、设备或域，) Defender for Identity 的所有检测中排除。 因此，例如，如果排除某个设备，它将仅应用于那些在检测过程中具有设备标识的检测。

1. 在左侧菜单中，选择“ 全局排除实体”。 你将看到可以排除的实体类别。

   

2. 选择排除类型。 在此示例中，我们选择了 “排除域”。

   

3. 将打开一个窗格，你可以在其中添加要排除的域。 添加要排除的域。

   

4. 域将添加到列表中。 选择“ 排除域 ”以完成排除。

   

5. 然后，你将在要从所有检测规则中排除的实体列表中看到域。 可以通过选择实体并选择“ 删除 ”按钮来导出列表或删除实体。

   

后续步骤

• 配置事件集合
• 查看 Defender for Identity 论坛！