Configurer les exclusions de détection Defender pour Identity dans Microsoft Defender XDR

Cet article explique comment configurer Microsoft Defender pour Identity exclusions de détection dans Microsoft Defender XDR.

Microsoft Defender pour Identity permet l’exclusion d’adresses IP, d’ordinateurs, de domaines ou d’utilisateurs spécifiques à partir d’un certain nombre de détections.

Par exemple, une alerte de reconnaissance DNS peut être déclenchée par un scanneur de sécurité qui utilise DNS comme mécanisme d’analyse. La création d’une exclusion permet à Defender pour Identity d’ignorer ces scanneurs et de réduire les faux positifs.

Remarque

Nous vous recommandons de régler une alerte au lieu d’utiliser des exclusions. Les règles d’optimisation des alertes permettent des conditions plus granulaires que des exclusions et vous permettent de passer en revue les alertes qui ont été paramétrées.

Remarque

Parmi les domaines les plus courants avec la communication suspecte sur les alertes DNS ouvertes sur eux, nous avons observé les domaines que les clients sont les plus exclus de l’alerte. Ces domaines sont ajoutés à la liste des exclusions par défaut, mais vous avez la possibilité de les supprimer facilement.

Comment ajouter des exclusions de détection

  1. Dans Microsoft Defender XDR, accédez à Paramètres, puis à Identités.

    Go to Settings, then Identities.

  2. Vous verrez ensuite les entités exclues dans le menu de gauche.

    Excluded entities.

    Vous pouvez ensuite définir des exclusions par deux méthodes : exclusions par règle de détection et entités exclues globales.

Exclusions par règle de détection

  1. Dans le menu de gauche, sélectionnez Exclusions par règle de détection. Vous verrez une liste de règles de détection.

    Exclusions by detection rule.

  2. Pour chaque détection que vous souhaitez configurer, procédez comme suit :

    1. Sélectionnez la règle. Vous pouvez rechercher des détections à l’aide de la barre de recherche. Une fois sélectionné, un volet s’ouvre avec les détails de la règle de détection.

      Detection rule details.

    2. Pour ajouter une exclusion, sélectionnez le bouton Entités exclues, puis choisissez le type d’exclusion. Différentes entités exclues sont disponibles pour chaque règle. Ils incluent les utilisateurs, les appareils, les domaines et les adresses IP. Dans cet exemple, les choix sont Exclure des appareils et Exclure des adresses IP.

      Exclude devices or IP addresses.

    3. Après avoir choisi le type d’exclusion, vous pouvez ajouter l’exclusion. Dans le volet qui s’ouvre, sélectionnez le bouton + pour ajouter l’exclusion.

      Add an exclusion.

    4. Ajoutez ensuite l’entité à exclure. Sélectionnez + Ajouter pour ajouter l’entité à la liste.

      Add an entity to be excluded.

    5. Sélectionnez Ensuite Exclure les adresses IP (dans cet exemple) pour terminer l’exclusion.

      Exclude IP addresses.

    6. Une fois que vous avez ajouté des exclusions, vous pouvez exporter la liste ou supprimer les exclusions en retournant au bouton Entités exclues. Dans cet exemple, nous sommes retournés à Exclure des appareils. Pour exporter la liste, sélectionnez le bouton flèche vers le bas.

      Return to Exclude devices.

    7. Pour supprimer une exclusion, sélectionnez l’exclusion et sélectionnez l’icône corbeille.

      Delete an exclusion.

Entités exclues globales

Vous pouvez désormais configurer des exclusions par des entités exclues globales. Les exclusions globales vous permettent de définir certaines entités (adresses IP, sous-réseaux, appareils ou domaines) à exclure dans toutes les détections que Defender pour Identity a. Par exemple, si vous excluez un appareil, il s’applique uniquement aux détections qui ont l’identification de l’appareil dans le cadre de la détection.

  1. Dans le menu de gauche, sélectionnez Entités exclues globales. Vous verrez les catégories d’entités que vous pouvez exclure.

    Global excluded entities.

  2. Choisissez un type d’exclusion. Dans cet exemple, nous avons sélectionné Exclure des domaines.

    Exclude domains.

  3. Un volet s’ouvre dans lequel vous pouvez ajouter un domaine à exclure. Ajoutez le domaine que vous souhaitez exclure.

    Add a domain to be excluded.

  4. Le domaine sera ajouté à la liste. Sélectionnez Exclure les domaines pour terminer l’exclusion.

    Select exclude domains.

  5. Vous verrez ensuite le domaine dans la liste des entités à exclure de toutes les règles de détection. Vous pouvez exporter la liste ou supprimer les entités en les choisissant et en sélectionnant le bouton Supprimer.

    List of global excluded entries.

Étapes suivantes