Sdílet prostřednictvím

Konfigurace vyloučení detekce identity v programu Defender for Identity v XDR v programu Microsoft Defender

  • Článek

Tento článek vysvětluje, jak nakonfigurovat vyloučení detekce identit v programu Microsoft Defender v programu Microsoft Defender XDR.

Microsoft Defender for Identity umožňuje vyloučení konkrétních IP adres, počítačů, domén nebo uživatelů z řady detekcí.

Upozornění na rekognoskaci DNS může například aktivovat skener zabezpečení, který používá DNS jako skenovací mechanismus. Vytvoření vyloučení pomáhá Defenderu for Identity ignorovat takové skenery a omezit falešně pozitivní výsledky.

Poznámka:

Místo vyloučení doporučujeme vyladit upozornění . Pravidla ladění výstrah umožňují podrobnější podmínky než vyloučení a umožňují zkontrolovat upozornění, která byla vyladěna.

Poznámka:

Z nejběžnějších domén s podezřelou komunikací přes výstrahy DNS otevřené na nich jsme zjistili domény, které zákazníci z výstrahy nejvíce vyloučili. Tyto domény se ve výchozím nastavení přidají do seznamu vyloučení, ale máte možnost je snadno odebrat.

Přidání vyloučení detekce

  1. V XDR v programu Microsoft Defender přejděte na Nastavení a pak identity.

    Go to Settings, then Identities.

  2. Vyloučené entity se pak zobrazí v nabídce vlevo.

    Excluded entities.

    Vyloučení pak můžete nastavit dvěma metodami: Vyloučení pravidlem detekce a globálními vyloučenými entitami.

Vyloučení podle pravidla detekce

  1. V nabídce vlevo vyberte Vyloučení podle pravidla detekce. Zobrazí se seznam pravidel detekce.

    Exclusions by detection rule.

  2. Pro každou detekci, kterou chcete nakonfigurovat, proveďte následující kroky:

    1. Vyberte pravidlo. Detekce můžete vyhledat pomocí panelu hledání. Po výběru se otevře podokno s podrobnostmi o pravidle detekce.

      Detection rule details.

    2. Pokud chcete přidat vyloučení, vyberte tlačítko Vyloučené entity a pak zvolte typ vyloučení. Pro každé pravidlo jsou k dispozici různé vyloučené entity. Zahrnují uživatele, zařízení, domény a IP adresy. V tomto příkladu se jedná o vyloučení zařízení a vyloučení IP adres.

      Exclude devices or IP addresses.

    3. Po výběru typu vyloučení můžete přidat vyloučení. V podokně, které se otevře, vyberte + tlačítko pro přidání vyloučení.

      Add an exclusion.

    4. Pak přidejte entitu, která se má vyloučit. Vyberte + Přidat a přidejte entitu do seznamu.

      Add an entity to be excluded.

    5. Potom výběrem možnosti Vyloučit IP adresy (v tomto příkladu) dokončete vyloučení.

      Exclude IP addresses.

    6. Po přidání vyloučení můžete seznam exportovat nebo odebrat vyloučení tak, že se vrátíte na tlačítko Vyloučené entity . V tomto příkladu jsme se vrátili k vyloučení zařízení. Pokud chcete seznam exportovat, vyberte tlačítko šipky dolů.

      Return to Exclude devices.

    7. Pokud chcete odstranit vyloučení, vyberte vyloučení a vyberte ikonu koše.

      Delete an exclusion.

Globální vyloučené entity

Teď můžete také nakonfigurovat vyloučení podle globálních vyloučených entit. Globální vyloučení umožňují definovat určité entity (IP adresy, podsítě, zařízení nebo domény), které mají být vyloučeny ze všech detekcí, které má Defender for Identity. Pokud například vyloučíte zařízení, použije se pouze na detekce, které mají identifikaci zařízení jako součást detekce.

  1. V nabídce vlevo vyberte globální vyloučené entity. Zobrazí se kategorie entit, které můžete vyloučit.

    Global excluded entities.

  2. Zvolte typ vyloučení. V tomto příkladu jsme vybrali vyloučit domény.

    Exclude domains.

  3. Otevře se podokno, kde můžete přidat doménu, která se má vyloučit. Přidejte doménu, kterou chcete vyloučit.

    Add a domain to be excluded.

  4. Doména se přidá do seznamu. Výběrem možnosti Vyloučit domény dokončete vyloučení.

    Select exclude domains.

  5. Pak uvidíte doménu v seznamu entit, které se mají vyloučit ze všech pravidel detekce. Seznam můžete exportovat nebo odebrat entity tak, že je vyberete a vyberete tlačítko Odebrat .

    List of global excluded entries.

Další kroky