Configurer les exclusions de détection Defender pour Identity dans Microsoft Defender XDR
Cet article explique comment configurer Microsoft Defender pour Identity exclusions de détection dans Microsoft Defender XDR.
Microsoft Defender pour Identity permet l’exclusion d’adresses IP, d’ordinateurs, de domaines ou d’utilisateurs spécifiques à partir d’un certain nombre de détections.
Par exemple, une alerte de reconnaissance DNS peut être déclenchée par un scanneur de sécurité qui utilise DNS comme mécanisme d’analyse. La création d’une exclusion permet à Defender pour Identity d’ignorer ces scanneurs et de réduire les faux positifs.
Remarque
Nous vous recommandons de régler une alerte au lieu d’utiliser des exclusions. Les règles d’optimisation des alertes permettent des conditions plus granulaires que des exclusions et vous permettent de passer en revue les alertes qui ont été paramétrées.
Remarque
Parmi les domaines les plus courants avec la communication suspecte sur les alertes DNS ouvertes sur eux, nous avons observé les domaines que les clients sont les plus exclus de l’alerte. Ces domaines sont ajoutés à la liste des exclusions par défaut, mais vous avez la possibilité de les supprimer facilement.
Comment ajouter des exclusions de détection
Dans Microsoft Defender XDR, accédez à Paramètres, puis à Identités.
Vous verrez ensuite les entités exclues dans le menu de gauche.
Vous pouvez ensuite définir des exclusions par deux méthodes : exclusions par règle de détection et entités exclues globales.
Exclusions par règle de détection
Dans le menu de gauche, sélectionnez Exclusions par règle de détection. Vous verrez une liste de règles de détection.
Pour chaque détection que vous souhaitez configurer, procédez comme suit :
Sélectionnez la règle. Vous pouvez rechercher des détections à l’aide de la barre de recherche. Une fois sélectionné, un volet s’ouvre avec les détails de la règle de détection.
Pour ajouter une exclusion, sélectionnez le bouton Entités exclues, puis choisissez le type d’exclusion. Différentes entités exclues sont disponibles pour chaque règle. Ils incluent les utilisateurs, les appareils, les domaines et les adresses IP. Dans cet exemple, les choix sont Exclure des appareils et Exclure des adresses IP.
Après avoir choisi le type d’exclusion, vous pouvez ajouter l’exclusion. Dans le volet qui s’ouvre, sélectionnez le bouton + pour ajouter l’exclusion.
Ajoutez ensuite l’entité à exclure. Sélectionnez + Ajouter pour ajouter l’entité à la liste.
Sélectionnez Ensuite Exclure les adresses IP (dans cet exemple) pour terminer l’exclusion.
Une fois que vous avez ajouté des exclusions, vous pouvez exporter la liste ou supprimer les exclusions en retournant au bouton Entités exclues. Dans cet exemple, nous sommes retournés à Exclure des appareils. Pour exporter la liste, sélectionnez le bouton flèche vers le bas.
Pour supprimer une exclusion, sélectionnez l’exclusion et sélectionnez l’icône corbeille.
Entités exclues globales
Vous pouvez désormais configurer des exclusions par des entités exclues globales. Les exclusions globales vous permettent de définir certaines entités (adresses IP, sous-réseaux, appareils ou domaines) à exclure dans toutes les détections que Defender pour Identity a. Par exemple, si vous excluez un appareil, il s’applique uniquement aux détections qui ont l’identification de l’appareil dans le cadre de la détection.
Dans le menu de gauche, sélectionnez Entités exclues globales. Vous verrez les catégories d’entités que vous pouvez exclure.
Choisissez un type d’exclusion. Dans cet exemple, nous avons sélectionné Exclure des domaines.
Un volet s’ouvre dans lequel vous pouvez ajouter un domaine à exclure. Ajoutez le domaine que vous souhaitez exclure.
Le domaine sera ajouté à la liste. Sélectionnez Exclure les domaines pour terminer l’exclusion.
Vous verrez ensuite le domaine dans la liste des entités à exclure de toutes les règles de détection. Vous pouvez exporter la liste ou supprimer les entités en les choisissant et en sélectionnant le bouton Supprimer.
