Configurar exclusiones de detección de Microsoft Defender for Identity en Microsoft Defender XDR
Este artículo explica cómo configurar exclusiones de detección de Microsoft Defender for Identity en Microsoft Defender XDR.
Microsoft Defender for Identity permite excluir direcciones IP, equipos, dominios o usuarios específicos de una serie de detecciones.
Por ejemplo, una alerta de reconocimiento de DNS podría ser desencadenada por un detector de seguridad que usa DNS como mecanismo de detección. La creación de una exclusión ayuda a Defender for Identity a omitir estos escáneres y a reducir los falsos positivos.
Nota:
Se recomienda ajustar una alerta en lugar de usar exclusiones. Las reglas de ajuste de alertas permiten condiciones más granulares que las exclusiones y permiten revisar las alertas ajustadas.
Nota:
De los dominios más comunes con alertas de comunicación sospechosa a través de DNS abiertas en ellos, observamos los dominios que los clientes han excluido en mayor cantidad de la alerta. Estos dominios se agregan a la lista de exclusiones de forma predeterminada, pero tiene la opción de quitarlos fácilmente.
Cómo agregar exclusiones de detección
En Microsoft Defender XDR, vaya a Configuraciones y, después a Identidades.
A continuación, verá Entidades excluidas en el menú de la izquierda.
Después, puede establecer exclusiones por dos métodos: Exclusiones por regla de detección y entidades excluidas globales.
Exclusiones por regla de detección
En el menú de la izquierda, seleccione Exclusiones por regla de detección. Verá una lista de reglas de detección.
Para cada detección que quiera configurar, siga estos pasos:
Seleccione la regla. Puede buscar detecciones mediante la barra de búsqueda. Una vez seleccionado, se abrirá un panel con los detalles de la regla de detección.
Para agregar una exclusión, seleccione el botón Entidades excluidas y elija el tipo de exclusión. Hay diferentes entidades excluidas disponibles para cada regla. Incluyen usuarios, dispositivos, dominios y direcciones IP. En este ejemplo, las opciones son Excluir dispositivos y Excluir direcciones IP.
Después de elegir el tipo de exclusión, puede agregar la exclusión. En el panel que se abre, seleccione el botón + para agregar la exclusión.
A continuación, agregue la entidad que se va a excluir. Seleccione + Agregar para agregar la entidad a la lista.
A continuación, seleccione Excluir direcciones IP (en este ejemplo) para completar la exclusión.
Una vez que haya agregado exclusiones, puede exportar la lista o quitar las exclusiones volviendo al botón Entidades excluidas. En este ejemplo, hemos vuelto a Excluir dispositivos. Para exportar la lista, seleccione el botón de flecha abajo.
Para eliminar una exclusión, seleccione la exclusión y seleccione el icono de papelera.
Entidades excluidas globales
Ahora también puede configurar exclusiones por entidades excluidas globales. Las exclusiones globales permiten definir determinadas entidades (direcciones IP, subredes, dispositivos o dominios) que se excluirán en todas las detecciones que tiene Defender for Identity. Por ejemplo, si excluye un dispositivo, solo se aplicará a esas detecciones que tengan la identificación del dispositivo como parte de la detección.
En el menú de la izquierda, seleccione Entidades excluidas globales. Verá las categorías de entidades que puede excluir.
Elija un tipo de exclusión. En este ejemplo, seleccionamos Excluir dominios.
Se abrirá un panel donde puede agregar un dominio que se va a excluir. Agregue el dominio que desea excluir.
El dominio se agregará a la lista. Seleccione Excluir dominios para completar la exclusión.
A continuación, verá el dominio en la lista de entidades que se excluirán de todas las reglas de detección. Puede exportar la lista o quitar las entidades eligiendo y seleccionando el botón Quitar .
