Konfigurieren von Defender for Identity-Erkennungsausschlüssen in Microsoft Defender XDR

  • Artikel

In diesem Artikel wird erklärt, wie Sie Microsoft Defender for Identity-Erkennungsausschlüsse in Microsoft Defender XDR konfigurieren.

Microsoft Defender for Identity ermöglicht den Ausschluss bestimmter IP-Adressen, Computer, Do Standard s oder Benutzer aus einer Reihe von Erkennungen.

Beispielsweise könnte eine DNS-Aufklärungswarnung von einem Sicherheitsscanner ausgelöst werden, der DNS als Scanmechanismus verwendet. Das Erstellen eines Ausschlusses hilft Defender for Identity, solche Scanner zu ignorieren und falsch positive Ergebnisse zu reduzieren.

Hinweis

Es wird empfohlen, eine Warnung zu optimieren, anstatt Ausschlüsse zu verwenden. Warnungsoptimierungsregeln erlauben präzisere Bedingungen als Ausschlüsse und ermöglichen es Ihnen, die Benachrichtigungen zu überprüfen, die optimiert wurden.

Hinweis

Von den gängigsten Aktionen Standard mit verdächtiger Kommunikation über IHNEN geöffnete DNS-Warnungen, haben wir die Do Standard beobachtet, die Kunden am meisten von der Warnung ausgeschlossen haben. Diese aktionen Standard werden standardmäßig der Ausschlussliste hinzugefügt, aber Sie haben die Möglichkeit, sie einfach zu entfernen.

Hinzufügen von Erkennungsausschlüssen

  1. Wechseln Sie in Microsoft Defender XDR zu Einstellungen und dann zu Identitäten.

    Go to Settings, then Identities.

  2. Im linken Menü werden dann ausgeschlossene Entitäten angezeigt.

    Excluded entities.

    Anschließend können Sie Ausschlüsse nach zwei Methoden festlegen: Ausschlüsse durch Erkennungsregel und globale ausgeschlossene Entitäten.

Ausschlüsse nach Erkennungsregel

  1. Wählen Sie im linken Menü "Ausschlüsse nach Erkennungsregel" aus. Es wird eine Liste der Erkennungsregeln angezeigt.

    Exclusions by detection rule.

  2. Führen Sie für jede Erkennung, die Sie konfigurieren möchten, die folgenden Schritte aus:

    1. Wählen Sie die Regel aus. Mithilfe der Suchleiste können Sie nach Erkennungen suchen. Nach der Auswahl wird ein Bereich mit den Details der Erkennungsregel geöffnet.

      Detection rule details.

    2. Um einen Ausschluss hinzuzufügen, wählen Sie die Schaltfläche Ausgeschlossene Entitäten und dann den Ausschlusstyp aus. Für jede Regel stehen unterschiedliche ausgeschlossene Entitäten zur Verfügung. Sie umfassen Benutzer, Geräte, do Standard s und IP-Adressen. In diesem Beispiel sind die Optionen Geräte ausschließen und IP-Adressen ausschließen".

      Exclude devices or IP addresses.

    3. Nachdem Sie den Ausschlusstyp ausgewählt haben, können Sie den Ausschluss hinzufügen. Wählen Sie im daraufhin geöffneten Bereich die +-Schaltfläche aus, um den Ausschluss hinzuzufügen.

      Add an exclusion.

    4. Fügen Sie dann die Entität hinzu, die ausgeschlossen werden soll. Wählen Sie + Hinzufügen aus, um die Entität zur Liste hinzuzufügen.

      Add an entity to be excluded.

    5. Wählen Sie dann IP-Adressen ausschließen (in diesem Beispiel) aus, um den Ausschluss abzuschließen.

      Exclude IP addresses.

    6. Sobald Sie Ausschlüsse hinzugefügt haben, können Sie die Liste exportieren oder die Ausschlüsse entfernen, indem Sie zur Schaltfläche Ausgeschlossene Einheiten zurückkehren. In diesem Beispiel kehren wir zu Geräte ausschließen zurück. Um die Liste zu exportieren, wählen Sie die Nach-unten-Taste.

      Return to Exclude devices.

    7. Um einen Ausschluss zu löschen, wählen Sie den Ausschluss und dann das Papierkorbsymbol aus.

      Delete an exclusion.

Globale ausgeschlossene Entitäten

Sie können jetzt auch Ausschlüsse durch Global ausgeschlossene Entitäten konfigurieren. Mit globalen Ausschlüssen können Sie bestimmte Entitäten (IP-Adressen, Subnetze, Geräte oder Do Standard) definieren, die für alle Erkennungen von Defender for Identity ausgeschlossen werden. Wenn Sie z. B. ein Gerät ausschließen, gilt es nur für die Erkennungen, die geräteidentifikation im Rahmen der Erkennung haben.

  1. Wählen Sie im linken Menü Globale ausgeschlossene Entitäten aus. Es werden die Kategorien von Entitäten angezeigt, die Sie ausschließen können.

    Global excluded entities.

  2. Wählen Sie einen Ausschlusstyp aus. In diesem Beispiel haben wir die Option Domänen ausschließen gewählt.

    Exclude domains.

  3. Ein Bereich wird geöffnet, in dem Sie eine Do hinzufügen können Standard ausgeschlossen werden soll. Fügen Sie die Domäne hinzu, die Sie ausschließen möchten.

    Add a domain to be excluded.

  4. Die Domäne wird der Liste hinzugefügt. Wählen Sie Domänen ausschließen, um den Ausschluss abzuschließen.

    Select exclude domains.

  5. Die Domäne wird dann in der Liste der Entitäten angezeigt, die von allen Erkennungsregeln ausgeschlossen werden. Sie können die Liste exportieren oder die Entitäten entfernen, indem Sie sie auswählen und auf die Schaltfläche Entfernen klicken.

    List of global excluded entries.

Nächste Schritte