在自動攻擊中斷時從自動化回應中排除資產

• 適用於:

  Microsoft Defender XDR

本文提供如何排除資產不受 Microsoft Defender 全面偵測回應 中自動攻擊中斷所包含的相關信息。

自動攻擊中斷可讓您排除來自自動化內含專案動作的特定用戶帳戶、裝置和IP位址。 一旦排除，這些資產將不會受到攻擊中斷所觸發的自動化動作影響。

注意

不建議從自動化回應中排除資產。 將資產排除在自動化回應之外，可降低自動攻擊中斷的有效性，以保護您的環境免於遭受複雜、高影響的攻擊。

必要條件

若要在自動攻擊中斷時從自動化回應中排除資產，您必須在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中https://admin.microsoft.com指派下列其中一個角色：

• 全域系統管理員
• 安全性系統管理員

檢閱或變更資產的自動化回應排除專案

若要在自動攻擊中斷時從自動化回應中排除資產，請遵循下列步驟：

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。

2. 移至 [設定>Microsoft Defender 全面偵測回應] 。

排除用戶帳戶

1. 在 [自動化回應] 下，選取 [ 身分識別]。

2. 若要排除使用者帳戶，請選取 [新增使用者排除]。 飛出視窗窗格隨即出現。

   

3. 在飛出視窗窗格的 [ 選取使用者 ] 方塊中輸入使用者帳戶名稱，然後選取您要排除的用戶帳戶。

   

4. 選 取 [排除使用者 ] 以儲存排除範圍。

排除裝置群組

注意

從自動化回應排除裝置群組也會影響 自動化調查和回應 動作。

1. 在 [自動化回應] 底下，選取 [ 裝置]。

2. 在 [ 裝置群組 ] 索引標籤中，從清單中選取組名旁邊的複選框來選擇裝置群組，以設定攻擊中斷自動化設定。

   

3. 在飛出視窗窗格中，選取裝置群組的適當自動化層級。 您可以從適用於裝置群組的下列任何自動化層級中選擇：

   • 完整 - 自動補救威脅：偵測到威脅時自動包含裝置。
   • 半 - 需要核准核心資料夾：在收到警示時自動調查裝置，並套用核心系統資料夾內的專案以外的補救動作。 核心資料夾的補救動作需要核准。
   • 半 - 需要核准非暫存資料夾：在收到警示時，自動調查並套用補救至暫存和下載資料夾內的動作。 所有其他補救動作都需要核准。
   • 半 - 需要核准所有資料夾：在收到警示時自動調查裝置。 所有補救動作都需要核准。
   • 沒有自動回應：此群組中的裝置不會採取自動化調查或回應。

   

4. 選 取 [儲存 ] 以儲存裝置群組的自動化層級。

重要事項

本文中的某些資訊與發行前版本產品有關，可能會在正式發行前進行大幅修改。 Microsoft對於此處提供的資訊，不提供任何明示或隱含的擔保。

排除IP

1. 在 [自動化回應] 底下，選取 [ 裝置]。

2. 在 [ IP] 索引 標籤中，選取 [ 排除 IP ] 以排除 IP 位址。

   

3. 在飛出視窗窗格中，輸入您想要排除的IP位址/IP範圍/IP子網。 您可以新增多個IP位址和IP子網，方法是以逗號分隔它們。

   

4. 新增排除項目的名稱和附註。 選 取 [建立 ] 以儲存排除範圍。

拿掉排除專案

若要移除排除專案：

• 移至 [ 身分識別] 頁面。 選取您要從清單中移除的用戶帳戶，然後選取 [ 移除]。

• 移至 [ 裝置] 頁面，並流覽至 [IP] 索引標籤 。選取您要從清單中移除的IP位址，然後選取 [ 移除排除]。

• 您可以在 [裝置群組] 索引標籤中設定 裝置群組 排除專案。從清單中選取您想要設定的裝置群組，然後從飛出視窗窗格中選擇適當的排除範圍。 選 取 [儲存 ] 以儲存排除範圍。

另請參閱

• 檢視自動化攻擊中斷動作的詳細數據和結果

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。