Objektumok kizárása az automatikus válaszokból automatikus támadási zavar esetén

Ez a cikk azt ismerteti, hogyan zárhatja ki az objektumokat a Microsoft Defender XDR automatikus támadási zavarai által automatikusan elérhetővé tott elemekből.

Az automatikus támadáskimaradás lehetővé teszi bizonyos felhasználói fiókok, eszközök és IP-címek kizárását az automatikus elszigetelési műveletekből. A kizárást követően ezeket az eszközöket nem érintik a támadás megszakadása által kiváltott automatizált műveletek.

Figyelem!

Az objektumok kizárása az automatizált válaszokból nem ajánlott. Ha kizárja az eszközöket az automatizált válaszokból, az csökkentheti az automatikus támadási fennakadások hatékonyságát a környezet kifinomult, nagy hatású támadásokkal szembeni védelmében.

Előfeltételek

Ha ki szeretné zárni az objektumokat az automatikus támadás megszakadása esetén az automatikus válaszokból, biztonsági rendszergazdának vagy magasabb szintű rendszergazdának kell lennie a Microsoft Entra ID (https://portal.azure.com) vagy a Microsoft 365 Felügyeleti központ (https://admin.microsoft.com) esetében.

Objektumok automatikus válaszkivételeinek áttekintése vagy módosítása

Ha ki szeretné zárni az objektumokat az automatikus támadás megszakadása esetén az automatikus válaszokból, kövesse az alábbi lépéseket:

1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.

2. Lépjen a Beállítások>Microsoft Defender XDR.

Felhasználói fiókok kizárása

1. Az Automatizált válasz területen válassza az Identitások lehetőséget.

2. Felhasználói fiók kizárásához válassza a Felhasználói kizárás hozzáadása lehetőséget. Megjelenik egy úszó panel.

   

3. Az úszó panelen írja be a felhasználói fiókok nevét a Felhasználók kiválasztása mezőbe, és jelölje ki a kizárni kívánt felhasználói fiókokat.

   

4. A kizárás mentéséhez válassza a Felhasználók kizárása lehetőséget.

Eszközcsoportok kizárása

Figyelem!

Az eszközcsoportok automatikus válaszokból való kizárása hatással van az automatizált vizsgálati és válaszműveletekre is.

1. Az Automatizált válaszok területen válassza az Eszközök lehetőséget.

2. Az Eszközcsoportok lapon válasszon ki egy eszközcsoportot. Ehhez jelölje be a csoport neve melletti jelölőnégyzetet a támadáskimaradás automatizálási beállításainak konfigurálásához.

   

3. Az úszó panelen válassza ki az eszközcsoportnak megfelelő automatizálási szintet. Az eszközcsoportnak megfelelő alábbi automatizálási szintek bármelyike közül választhat:

   • Teljes – a fenyegetések automatikus elhárítása: Automatikusan tartalmaz eszközöket fenyegetés észlelésekor.
   • Részben – az alapvető mappák jóváhagyásának megkövetelése: Automatikusan vizsgálja meg az eszközöket, amikor riasztás érkezik, és alkalmazza a szervizelési műveleteket az alapvető rendszermappákon belüli elemek kivételével. Az alapvető mappák szervizelési műveleteinek jóváhagyása szükséges.
   • Részben – jóváhagyás szükséges a nem ideiglenes mappákhoz: Automatikusan vizsgálja ki és alkalmazza a szervizelést az ideiglenes mappán belüli műveletekre, és riasztás érkezésekor töltse le a mappákat. Minden más szervizelési művelethez jóváhagyás szükséges.
   • Részben – jóváhagyást igényel minden mappához: Automatikusan vizsgálja meg az eszközöket, amikor riasztás érkezik. Minden szervizelési művelethez jóváhagyás szükséges.
   • Nincs automatizált válasz: Az ebben a csoportban lévő eszközök esetében nem történik automatikus vizsgálat vagy válasz.

   

4. Válassza a Mentés lehetőséget az eszközcsoport automatizálási szintjének mentéséhez.

IP-címek kizárása

1. Az Automatizált válaszok területen válassza az Eszközök lehetőséget.

2. Az IP-címek lapon válassza az IP-cím kizárása lehetőséget egy IP-cím kizárásához.

   

3. Az úszó panelen adja meg a kizárni kívánt IP-címet/IP-tartományt/IP-alhálózatot. Több IP-címet és IP-alhálózatot is hozzáadhat, ha vesszővel elválasztja őket.

   

4. Adjon hozzá egy nevet és egy megjegyzést a kizáráshoz. A kizárás mentéséhez válassza a Létrehozás lehetőséget.

Kizárások eltávolítása

Kizárás eltávolítása:

• Lépjen az Identitások lapra. Válassza ki a listából eltávolítani kívánt felhasználói fiókot, majd válassza az Eltávolítás lehetőséget.

• Lépjen az Eszközök lapra, és lépjen az IP-címek lapra. Válassza ki a listából eltávolítani kívánt IP-címet, majd válassza a Kizárás eltávolítása lehetőséget.

• Az eszközcsoport-kizárások az Eszközcsoportok lapon konfigurálhatók. Válassza ki a listából a konfigurálni kívánt eszközcsoportot, és válassza ki a megfelelő kizárást az úszó panelről. A kizárás mentéséhez válassza a Mentés lehetőséget.

Az automatikus támadás megszakításának lemondása

A támadások megszakításának elutasítása jelentősen növelheti a biztonsági kockázatokat. Fontolja meg az adott entitások kizárását .

Ha le kell tiltania a támadás megszakítását, ezt úgy teheti meg, hogy megnyit egy támogatási esetet a Microsoft Defender portálon a támadási fennakadások letiltásával. A kérésében adja meg, hogy le szeretné tiltani a támadás megszakítását, és adjon meg egy rövid magyarázatot a döntéséről. Ez a visszajelzés segít a funkció fejlesztésében és az ügyfelek igényeinek jobb megértésében. A letiltás révén továbbra is kap a támadási zavarokkal kapcsolatos riasztásokat, de nem történik automatikus művelet.

Lásd még

• Az automatizált támadáskimaradási műveletek részleteinek és eredményeinek megtekintése

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.