הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מאמר זה מספק מידע אודות אי-הכללת נכסים הכלולים באופן אוטומטי על-ידי הפרעה אוטומטית בתקיפה Microsoft Defender XDR.
הפרעה אוטומטית בתקיפה מאפשרת אי-הכללה של חשבונות משתמשים, מכשירים וכתובות IP ספציפיים מפעולות בילה אוטומטיות. לאחר ההכללה, נכסים אלה אינם מושפעים מפעולות אוטומטיות המופעלות על-ידי הפרעה בתקיפה.
זהירות
לא מומלץ להוציא נכסים מתגובות אוטומטיות. אי-הכללת נכסים מתגובות אוטומטיות עשויה להפחית את היעילות של הפרעה אוטומטית בתקיפה בהגנה על הסביבה שלך מפני תקיפות מתוחכמות ובעלות השפעה גבוהה.
דרישות מוקדמות
כדי לא לכלול נכסים בתגובות אוטומטיות בהפרעה אוטומטית לתקיפות, עליך להיות מנהל אבטחה או גירסה מתקדמת יותר ב- Microsoft Entra ID (https://portal.azure.com) או מרכז הניהול של Microsoft 365 (https://admin.microsoft.com).
סקירה או שינוי של אי-הכללות אוטומטיות בתגובה עבור נכסים
כדי לא לכלול נכסים בתגובות אוטומטיות בהפרעות תקיפה אוטומטיות, בצע את הפעולות הבאות:
גש לפורטל Microsoft Defender (https://security.microsoft.com) והיכנס.
עבור אל הגדרות>Microsoft Defender XDR.
אל תכלול חשבונות משתמשים
תחת תגובה אוטומטית, בחר זהויות.
כדי לא לכלול חשבון משתמש, בחר הוסף אי הכללה של משתמש. מופיעה חלונית תפריט נשלף.
בחלונית הנשלף, הזן את שמות חשבונות המשתמש בתיבה בחר משתמשים ובחר את חשבונות המשתמשים שברצונך לא לכלול.
בחר אל תכלול משתמשים כדי לשמור את אי ההכללה.
אל תכלול קבוצות מכשירים
זהירות
אי-הכללת קבוצות מכשירים מתגובות אוטומטיות משפיעה גם על פעולות חקירה ותגובה אוטומטיות .
תחת תגובות אוטומטיות, בחר מכשירים.
בכרטיסיה קבוצות מכשירים , בחר קבוצת מכשירים על-ידי בחירה בתיבת הסימון לצד שם הקבוצה מהרשימה כדי לקבוע את התצורה של הגדרות אוטומציה של הפרעה בתקיפה.
בחלונית התפריט הנשלף, בחר את רמת האוטומציה המתאימה עבור קבוצת המכשירים. באפשרותך לבחור מבין כל אחת מרמות האוטומציה הבאות המתאימות לקבוצת המכשירים שלך:
- מלא - תקן איומים באופן אוטומטי: כלול מכשירים באופן אוטומטי כאשר זוהה איום.
- חצי - דורש אישור עבור תיקיות ליבה: בדוק מכשירים באופן אוטומטי כאשר מתקבלת התראה והחל פעולות תיקון למעט על פריטים בתוך תיקיות מערכת מרכזיות. פעולות תיקון עבור תיקיות הליבה דורשות אישור.
- חצי - דרוש אישור עבור תיקיות שאינן זמניות: בדוק והחל תיקון באופן אוטומטי על פעולות בתוך תיקיות זמניות והורד פריטים בעת קבלה של התראה. כל פעולות התיקון האחרות דורשות אישור.
- חצי - דרוש אישור עבור כל התיקיות: בדוק מכשירים באופן אוטומטי כאשר מתקבלת התראה. כל פעולות התיקון דורשות אישור.
- אין תגובה אוטומטית: לא ננקטת חקירה או תגובה אוטומטית עבור מכשירים בקבוצה זו.
בחר שמור כדי לשמור את רמת האוטומציה עבור קבוצת המכשירים.
אל תכלול IPs
תחת תגובות אוטומטיות, בחר מכשירים.
בכרטיסיה כתובות IP , בחר אל תכלול IP כדי לא לכלול כתובת IP.
בחלונית התפריט הנשלף, הזן את כתובת ה- IP/טווח ה- IP/רשת המשנה של ה- IP שברצונך לא לכלול. באפשרותך להוסיף כתובות IP ו רשתות משנה מרובות של IP על-ידי הפרדתן באמצעות פסיק.
הוסף שם והערה עבור אי-ההכללה. בחר צור כדי לשמור את ההכללה.
הסר פריטים שאינם נכללים
כדי להסיר פריט שלא ייכלל:
- עבור אל הדף זהויות . בחר את חשבון המשתמש שברצונך להסיר מהרשימה ולאחר מכן בחר הסר.
- עבור אל הדף מכשירים ונווט אל הכרטיסיה IPs . בחר את כתובת ה- IP שברצונך להסיר מהרשימה ולאחר מכן בחר הסר אי הכללה.
- ניתן לקבוע את התצורה של אי-הכללות של קבוצות מכשירים בכרטיסיה קבוצות מכשירים . בחר את קבוצת המכשירים שברצונך לקבוע את תצורתה מהרשימה ובחר את אי-ההכללה המתאימה מחלונית התפריט הנשלף. בחר שמור כדי לשמור את ההכללה.
ביטול הצטרפות להפרעה אוטומטית בתקיפה
ביטול הצטרפות להפרעה בתקיפה יכול להגביר באופן משמעותי את סיכון האבטחה. שקול לא לדרג ישויות ספציפיות במקום זאת.
אם עליך לבטל את הצטרפותך להפרעה בתקיפה, תוכל לעשות זאת על-ידי פתיחת מקרה תמיכה בפורטל Microsoft Defender עם ביטול ההצטרפות של הפרעה לתקיפה בנושא. לבקשתך, ציין שברצונך לבטל את הצטרפותך להפרעה בתקיפה ולכלול הסבר קצר על החלטתך. משוב זה עוזר לנו לשפר את התכונה ולהבין טוב יותר את צרכי הלקוחות. אם תבחר לבטל את ההצטרפות, עדיין תקבל התראות הקשורות להפרעה בתקיפה, אך לא ינקטו פעולות אוטומטיות.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.