אל תכלול נכסים בתגובות אוטומטיות בהפרעות תקיפה אוטומטיות

• חל על:

  Microsoft Defender XDR

מאמר זה מספק מידע אודות אי-הכללת נכסים הכלולים באופן אוטומטי על-ידי הפרעה אוטומטית בתקיפה Microsoft Defender XDR.

הפרעה אוטומטית בתקיפה מאפשרת אי-הכללה של חשבונות משתמשים, מכשירים וכתובות IP ספציפיים מפעולות בילה אוטומטיות. לאחר אי-הכללה, נכסים אלה לא יושפעו מפעולות אוטומטיות המופעלות על-ידי הפרעה בתקיפה.

זהירות

לא מומלץ להוציא נכסים מתגובות אוטומטיות. אי-הכללת נכסים מתגובות אוטומטיות עשויה להפחית את היעילות של הפרעה אוטומטית בתקיפה בהגנה על הסביבה שלך מפני תקיפות מתוחכמות ובעלות השפעה גבוהה.

דרישות מוקדמות

כדי לא לכלול נכסים בתגובות אוטומטיות בהפרעה אוטומטית לתקיפות, עליך להקצות אחד מהתפקידים הבאים באחד מהתפקידים הבאים ב- מזהה Microsoft Entra (https://portal.azure.com) או מרכז הניהול של Microsoft 365 (https://admin.microsoft.com):

• מנהל מערכת כללי
• מנהל אבטחה

סקירה או שינוי של אי-הכללות אוטומטיות בתגובה עבור נכסים

כדי לא לכלול נכסים בתגובות אוטומטיות בהפרעות תקיפה אוטומטיות, בצע את הפעולות הבאות:

1. עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.

2. עבור אל הגדרות>Microsoft Defender XDR.

אל תכלול חשבונות משתמשים

1. תחת תגובה אוטומטית, בחר זהויות.

2. כדי לא לכלול חשבון משתמש, בחר הוסף אי הכללה של משתמש. מופיעה חלונית תפריט נשלף.

   

3. בחלונית הנשלף, הזן את שמות חשבונות המשתמש בתיבה בחר משתמשים ובחר את חשבונות המשתמשים שברצונך לא לכלול.

   

4. בחר אל תכלול משתמשים כדי לשמור את אי ההכללה.

אל תכלול קבוצות מכשירים

זהירות

אי-הכללת קבוצות מכשירים מתגובות אוטומטיות משפיעה גם על פעולות חקירה ותגובה אוטומטיות .

1. תחת תגובות אוטומטיות, בחר מכשירים.

2. בכרטיסיה קבוצות מכשירים , בחר קבוצת מכשירים על-ידי בחירה בתיבת הסימון לצד שם הקבוצה מהרשימה כדי לקבוע את התצורה של הגדרות אוטומציה של הפרעה בתקיפה.

   

3. בחלונית התפריט הנשלף, בחר את רמת האוטומציה המתאימה עבור קבוצת המכשירים. באפשרותך לבחור מבין כל אחת מרמות האוטומציה הבאות המתאימות לקבוצת המכשירים שלך:

   • מלא - תקן איומים באופן אוטומטי: כלול מכשירים באופן אוטומטי כאשר זוהה איום.
   • חצי - דורש אישור עבור תיקיות ליבה: בדוק מכשירים באופן אוטומטי כאשר מתקבלת התראה והחל פעולות תיקון למעט על פריטים בתוך תיקיות מערכת מרכזיות. פעולות תיקון עבור תיקיות הליבה דורשות אישור.
   • חצי - דרוש אישור עבור תיקיות שאינן זמניות: בדוק והחל תיקון באופן אוטומטי על פעולות בתוך תיקיות זמניות והורד פריטים בעת קבלה של התראה. כל פעולות התיקון האחרות דורשות אישור.
   • חצי - דרוש אישור עבור כל התיקיות: בדוק מכשירים באופן אוטומטי כאשר מתקבלת התראה. כל פעולות התיקון דורשות אישור.
   • אין תגובה אוטומטית: לא ננקטת חקירה או תגובה אוטומטית עבור מכשירים בקבוצה זו.

   

4. בחר שמור כדי לשמור את רמת האוטומציה עבור קבוצת המכשירים.

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, שעשוי להשתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות המבוטאת או משתמעת, ביחס למידע המסופק כאן.

אל תכלול IPs

1. תחת תגובות אוטומטיות, בחר מכשירים.

2. בכרטיסיה כתובות IP , בחר אל תכלול IP כדי לא לכלול כתובת IP.

   

3. בחלונית התפריט הנשלף, הזן את כתובת ה- IP/טווח ה- IP/רשת המשנה של ה- IP שברצונך לא לכלול. באפשרותך להוסיף כתובות IP ו רשתות משנה מרובות של IP על-ידי הפרדתן באמצעות פסיק.

   

4. הוסף שם והערה עבור אי-ההכללה. בחר צור כדי לשמור את ההכללה.

הסר פריטים שאינם נכללים

כדי להסיר פריט שלא ייכלל:

• עבור אל הדף זהויות . בחר את חשבון המשתמש שברצונך להסיר מהרשימה ולאחר מכן בחר הסר.

• עבור אל הדף מכשירים ונווט אל הכרטיסיה IPs . בחר את כתובת ה- IP שברצונך להסיר מהרשימה ולאחר מכן בחר הסר אי הכללה.

• ניתן לקבוע את התצורה של אי-הכללות של קבוצות מכשירים בכרטיסיה קבוצות מכשירים . בחר את קבוצת המכשירים שברצונך לקבוע את תצורתה מהרשימה ובחר את אי-ההכללה המתאימה מחלונית התפריט הנשלף. בחר שמור כדי לשמור את ההכללה.

למידע נוסף

• הצגת פרטים והתוצאות של פעולות אוטומטיות של הפרעות בתקיפה

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.