Læs på engelsk

Del via


Konfigurer defender for udeladelser fra identitetsregistrering i Microsoft Defender XDR

I denne artikel forklares det, hvordan du konfigurerer Microsoft Defender for Identity registreringsudeladelser i Microsoft Defender XDR.

Microsoft Defender for Identity gør det muligt at udelukke bestemte IP-adresser, computere, domæner eller brugere fra en række registreringer.

En DNS-rekognosceringsbesked kan f.eks. udløses af en sikkerhedsscanner, der bruger DNS som en scanningsmekanisme. Oprettelse af en udeladelse hjælper Defender for Identity med at ignorere sådanne scannere og reducere falske positiver.

Bemærk

Vi anbefaler, at du indstiller en besked i stedet for at bruge udeladelser. Regler for justering af beskeder tillader mere detaljerede betingelser end undtagelser og giver dig mulighed for at gennemse de beskeder, der er blevet justeret.

Bemærk

Af de mest almindelige domæner med mistænkelig kommunikation via DNS-beskeder , der er åbnet for dem, observerede vi de domæner, som kunder mest udelukket fra beskeden. Disse domæner føjes som standard til listen over undtagelser, men du har mulighed for nemt at fjerne dem.

Sådan tilføjer du registreringsudeladelser

  1. I Microsoft Defender XDR skal du gå til Indstillinger og derefter Identiteter.

    Gå til Indstillinger og derefter Identiteter.

  2. Du kan derefter se Udeladte enheder i menuen til venstre.

    Udeladte enheder.

    Du kan derefter angive udeladelser på to måder: Exclusions by detection rule og Global excluded entities.

Udeladelser efter registreringsregel

  1. I menuen til venstre skal du vælge Udeladelser ved at registrere en regel. Du får vist en liste over regler for registrering.

    Udeladelser efter registreringsregel.

  2. Benyt følgende fremgangsmåde for hver registrering, du vil konfigurere:

    1. Vælg reglen. Du kan søge efter registreringer ved hjælp af søgelinjen. Når den er valgt, åbnes en rude med oplysninger om registreringsreglen.

      Oplysninger om registreringsregel.

    2. Hvis du vil tilføje en udeladelse, skal du vælge knappen Udeladte enheder og derefter vælge udeladelsestypen. Der er forskellige udeladte enheder tilgængelige for hver regel. De omfatter brugere, enheder, domæner og IP-adresser. I dette eksempel er valgmulighederne Udelad enheder og Udelad IP-adresser.

      Udelad enheder eller IP-adresser.

    3. Når du har valgt udeladelsestypen, kan du tilføje udeladelsestypen. I den rude, der åbnes, skal du vælge knappen + for at tilføje udeladelse.

      Tilføj en udeladelse.

    4. Tilføj derefter det objekt, der skal udelades. Vælg + Tilføj for at føje objektet til listen.

      Tilføj en enhed, der skal udelades.

    5. Vælg derefter Udelad IP-adresser (i dette eksempel) for at fuldføre udeladelse.

      Udelad IP-adresser.

    6. Når du har tilføjet udeladelser, kan du eksportere listen eller fjerne udeladelser ved at vende tilbage til knappen Udeladte enheder . I dette eksempel er vi vendt tilbage til Udelad enheder. Hvis du vil eksportere listen, skal du vælge pil ned-knappen.

      Vend tilbage til Udelad enheder.

    7. Hvis du vil slette en udeladelse, skal du vælge udeladelse og vælge papirkurvsikonet.

      Slet en udeladelse.

Globale udeladte enheder

Du kan nu også konfigurere udeladelser efter globale udeladte objekter. Globale udeladelser giver dig mulighed for at definere visse enheder (IP-adresser, undernet, enheder eller domæner), der skal udelades på tværs af alle registreringer, som Defender for Identity har. Så hvis du f.eks. udelukker en enhed, gælder den kun for de registreringer, der har enhedsidentifikation som en del af registreringen.

  1. Vælg Globale udeladte enheder i menuen til venstre. Du kan se kategorierne af enheder, som du kan ekskludere.

    Globale udeladte enheder.

  2. Vælg en udeladelsestype. I dette eksempel valgte vi Udelad domæner.

    Udelad domæner.

  3. Der åbnes en rude, hvor du kan tilføje et domæne, der skal udelades. Tilføj det domæne, du vil udelade.

    Tilføj et domæne, der skal udelades.

  4. Domænet føjes til listen. Vælg Udelad domæner for at fuldføre udeladelse.

    Vælg udelad domæner.

  5. Derefter kan du se domænet på listen over enheder, der skal udelades fra alle registreringsregler. Du kan eksportere listen eller fjerne objekterne ved at vælge dem og vælge knappen Fjern .

    Liste over globale udeladte poster.

Næste trin