Konfigurer defender for udeladelser fra identitetsregistrering i Microsoft Defender XDR
I denne artikel forklares det, hvordan du konfigurerer Microsoft Defender for Identity registreringsudeladelser i Microsoft Defender XDR.
Microsoft Defender for Identity gør det muligt at udelukke bestemte IP-adresser, computere, domæner eller brugere fra en række registreringer.
En DNS-rekognosceringsbesked kan f.eks. udløses af en sikkerhedsscanner, der bruger DNS som en scanningsmekanisme. Oprettelse af en udeladelse hjælper Defender for Identity med at ignorere sådanne scannere og reducere falske positiver.
Bemærk
Vi anbefaler, at du indstiller en besked i stedet for at bruge udeladelser. Regler for justering af beskeder tillader mere detaljerede betingelser end undtagelser og giver dig mulighed for at gennemse de beskeder, der er blevet justeret.
Bemærk
Af de mest almindelige domæner med mistænkelig kommunikation via DNS-beskeder , der er åbnet for dem, observerede vi de domæner, som kunder mest udelukket fra beskeden. Disse domæner føjes som standard til listen over undtagelser, men du har mulighed for nemt at fjerne dem.
I Microsoft Defender XDR skal du gå til Indstillinger og derefter Identiteter.
Du kan derefter se Udeladte enheder i menuen til venstre.
Du kan derefter angive udeladelser på to måder: Exclusions by detection rule og Global excluded entities.
I menuen til venstre skal du vælge Udeladelser ved at registrere en regel. Du får vist en liste over regler for registrering.
Benyt følgende fremgangsmåde for hver registrering, du vil konfigurere:
Vælg reglen. Du kan søge efter registreringer ved hjælp af søgelinjen. Når den er valgt, åbnes en rude med oplysninger om registreringsreglen.
Hvis du vil tilføje en udeladelse, skal du vælge knappen Udeladte enheder og derefter vælge udeladelsestypen. Der er forskellige udeladte enheder tilgængelige for hver regel. De omfatter brugere, enheder, domæner og IP-adresser. I dette eksempel er valgmulighederne Udelad enheder og Udelad IP-adresser.
Når du har valgt udeladelsestypen, kan du tilføje udeladelsestypen. I den rude, der åbnes, skal du vælge knappen + for at tilføje udeladelse.
Tilføj derefter det objekt, der skal udelades. Vælg + Tilføj for at føje objektet til listen.
Vælg derefter Udelad IP-adresser (i dette eksempel) for at fuldføre udeladelse.
Når du har tilføjet udeladelser, kan du eksportere listen eller fjerne udeladelser ved at vende tilbage til knappen Udeladte enheder . I dette eksempel er vi vendt tilbage til Udelad enheder. Hvis du vil eksportere listen, skal du vælge pil ned-knappen.
Hvis du vil slette en udeladelse, skal du vælge udeladelse og vælge papirkurvsikonet.
Du kan nu også konfigurere udeladelser efter globale udeladte objekter. Globale udeladelser giver dig mulighed for at definere visse enheder (IP-adresser, undernet, enheder eller domæner), der skal udelades på tværs af alle registreringer, som Defender for Identity har. Så hvis du f.eks. udelukker en enhed, gælder den kun for de registreringer, der har enhedsidentifikation som en del af registreringen.
Vælg Globale udeladte enheder i menuen til venstre. Du kan se kategorierne af enheder, som du kan ekskludere.
Vælg en udeladelsestype. I dette eksempel valgte vi Udelad domæner.
Der åbnes en rude, hvor du kan tilføje et domæne, der skal udelades. Tilføj det domæne, du vil udelade.
Domænet føjes til listen. Vælg Udelad domæner for at fuldføre udeladelse.
Derefter kan du se domænet på listen over enheder, der skal udelades fra alle registreringsregler. Du kan eksportere listen eller fjerne objekterne ved at vælge dem og vælge knappen Fjern .