Configurer les exclusions de détection Defender pour Identity dans Microsoft 365 Defender

Notes

L’expérience décrite dans cette page est accessible à l’adresse https://security.microsoft.com dans le cadre de Microsoft 365 Defender.

Cet article explique comment configurer Microsoft Defender pour Identity exclusions de détection dans Microsoft 365 Defender.

Microsoft Defender pour Identity permet l’exclusion d’adresses IP, d’ordinateurs, de domaines ou d’utilisateurs spécifiques à partir d’un certain nombre de détections.

Par exemple, une alerte de reconnaissance DNS peut être déclenchée par un scanneur de sécurité qui utilise DNS comme mécanisme d’analyse. La création d’une exclusion aide Defender pour Identity à ignorer ces scanneurs et à réduire les faux positifs.

Notes

Parmi les domaines les plus courants avec une communication suspecte sur les alertes DNS ouvertes sur eux, nous avons observé les domaines que les clients ont les plus exclus de l’alerte. Ces domaines sont ajoutés à la liste des exclusions par défaut, mais vous avez la possibilité de les supprimer facilement.

Guide pratique pour ajouter des exclusions de détection

  1. Dans Microsoft 365 Defender, accédez à Paramètres, puis Identités.

    Accédez à Paramètres, puis Identités.

  2. Vous verrez ensuite les entités exclues dans le menu de gauche.

    Entités exclues.

Vous pouvez ensuite définir des exclusions par deux méthodes : exclusions par règle de détection et entités exclues globales.

Exclusions par règle de détection

  1. Dans le menu de gauche, sélectionnez Exclusions par règle de détection. Vous verrez une liste de règles de détection.

    Exclusions par règle de détection.

  2. Pour chaque détection que vous souhaitez configurer, procédez comme suit :

    1. Sélectionnez la règle. Vous pouvez rechercher des détections à l’aide de la barre de recherche. Une fois sélectionné, un volet s’ouvre avec les détails de la règle de détection.

      Détails de la règle de détection.

    2. Pour ajouter une exclusion, sélectionnez le bouton Entités exclues , puis choisissez le type d’exclusion. Différentes entités exclues sont disponibles pour chaque règle. Ils incluent les utilisateurs, les appareils, les domaines et les adresses IP. Dans cet exemple, les choix sont Exclure des appareils et Exclure des adresses IP.

      Excluez les appareils ou les adresses IP.

    3. Après avoir choisi le type d’exclusion, vous pouvez ajouter l’exclusion. Dans le volet qui s’ouvre, sélectionnez le + bouton pour ajouter l’exclusion.

      Ajoutez une exclusion.

    4. Ajoutez ensuite l’entité à exclure. Sélectionnez + Ajouter pour ajouter l’entité à la liste.

      Ajoutez une entité à exclure.

    5. Sélectionnez Ensuite Exclure les adresses IP (dans cet exemple) pour terminer l’exclusion.

      Excluez les adresses IP.

    6. Une fois que vous avez ajouté des exclusions, vous pouvez exporter la liste ou supprimer les exclusions en retournant au bouton Entités exclues . Dans cet exemple, nous sommes retournés à Exclure des appareils. Pour exporter la liste, sélectionnez le bouton flèche vers le bas.

      Revenez à Exclure des appareils.

    7. Pour supprimer une exclusion, sélectionnez l’exclusion et sélectionnez l’icône corbeille.

      Supprimez une exclusion.

Entités exclues globales

Vous pouvez maintenant également configurer des exclusions par des entités exclues globales. Les exclusions globales vous permettent de définir certaines entités (adresses IP, sous-réseaux, appareils ou domaines) à exclure dans toutes les détections que Defender for Identity possède. Par exemple, si vous excluez un appareil, il s’applique uniquement aux détections qui ont l’identification de l’appareil dans le cadre de la détection.

  1. Dans le menu de gauche, sélectionnez Entités exclues globales. Vous verrez les catégories d’entités que vous pouvez exclure.

    Entités exclues globales.

  2. Choisissez un type d’exclusion. Dans cet exemple, nous avons sélectionné Exclure des domaines.

    Excluez les domaines.

  3. Un volet s’ouvre dans lequel vous pouvez ajouter un domaine à exclure. Ajoutez le domaine que vous souhaitez exclure.

    Ajoutez un domaine à exclure.

  4. Le domaine sera ajouté à la liste. Sélectionnez Exclure des domaines pour terminer l’exclusion.

    Sélectionnez Exclure des domaines.

  5. Vous verrez ensuite le domaine dans la liste des entités à exclure de toutes les règles de détection. Vous pouvez exporter la liste ou supprimer les entités en les sélectionnant et en cliquant sur le bouton Supprimer .

    Liste des entrées exclues globales.

Voir aussi