Mengonfigurasi pengecualian Deteksi Pertahanan untuk Identitas di Microsoft Defender XDR
Artikel ini menjelaskan cara mengonfigurasi pengecualian deteksi Microsoft Defender untuk Identitas di Microsoft Defender XDR.
Microsoft Defender untuk Identitas memungkinkan pengecualian alamat IP, komputer, domain, atau pengguna tertentu dari sejumlah deteksi.
Misalnya, pemberitahuan Pengintaian DNS dapat dipicu oleh pemindai keamanan yang menggunakan DNS sebagai mekanisme pemindaian . Membuat pengecualian membantu Defender for Identity mengabaikan pemindai tersebut dan mengurangi positif palsu.
Catatan
Kami menyarankan Anda untuk Menyetel pemberitahuan alih-alih menggunakan pengecualian. Aturan penyetelan pemberitahuan memungkinkan kondisi yang lebih terperinci daripada pengecualian, dan memungkinkan Anda meninjau pemberitahuan yang disetel.
Catatan
Dari domain yang paling umum dengan komunikasi mencurigakan melalui pemberitahuan DNS yang dibuka pada domain tersebut, kami mengamati domain yang paling dikecualikan pelanggan dari pemberitahuan. Domain ini ditambahkan ke daftar pengecualian secara default, tetapi Anda memiliki opsi untuk menghapusnya dengan mudah.
Cara menambahkan pengecualian deteksi
Di Microsoft Defender XDR, buka Pengaturan lalu Identitas.
Anda kemudian akan melihat Entitas yang dikecualikan di menu sebelah kiri.
Anda kemudian dapat mengatur pengecualian dengan dua metode: Pengecualian berdasarkan aturan deteksi dan entitas yang dikecualikan Global.
Pengecualian menurut aturan deteksi
Di menu sebelah kiri, pilih Pengecualian menurut aturan deteksi. Anda akan melihat daftar aturan deteksi.
Untuk setiap deteksi yang ingin Anda konfigurasi, lakukan langkah-langkah berikut:
Pilih aturan. Anda dapat mencari deteksi menggunakan bilah pencarian. Setelah dipilih, panel akan terbuka dengan detail aturan deteksi.
Untuk menambahkan pengecualian, pilih tombol Entitas yang dikecualikan, lalu pilih jenis pengecualian. Entitas yang dikecualikan yang berbeda tersedia untuk setiap aturan. Mereka termasuk pengguna, perangkat, domain, dan alamat IP. Dalam contoh ini, pilihannya adalah Mengecualikan perangkat dan Mengecualikan alamat IP.
Setelah memilih jenis pengecualian, Anda dapat menambahkan pengecualian. Di panel yang terbuka, pilih tombol + untuk menambahkan pengecualian.
Kemudian tambahkan entitas yang akan dikecualikan. Pilih + Tambahkan untuk menambahkan entitas ke daftar.
Lalu pilih Kecualikan alamat IP (dalam contoh ini) untuk menyelesaikan pengecualian.
Setelah menambahkan pengecualian, Anda dapat mengekspor daftar atau menghapus pengecualian dengan kembali ke tombol Entitas yang dikecualikan. Dalam contoh ini, kami telah kembali ke Mengecualikan perangkat. Untuk mengekspor daftar, pilih tombol panah bawah.
Untuk menghapus pengecualian, pilih pengecualian dan pilih ikon sampah.
Entitas yang dikecualikan global
Anda sekarang juga dapat mengonfigurasi pengecualian oleh entitas yang dikecualikan Global. Pengecualian global memungkinkan Anda menentukan entitas tertentu (alamat IP, subnet, perangkat, atau domain) untuk dikecualikan di semua deteksi yang dimiliki Defender for Identity. Jadi misalnya, jika Anda mengecualikan perangkat, itu hanya akan berlaku untuk deteksi yang memiliki identifikasi perangkat sebagai bagian dari deteksi.
Di menu sebelah kiri, pilih Entitas yang dikecualikan global. Anda akan melihat kategori entitas yang dapat Anda kecualikan.
Pilih jenis pengecualian. Dalam contoh ini, kami memilih Kecualikan domain.
Panel akan terbuka di mana Anda bisa menambahkan domain yang akan dikecualikan. Tambahkan domain yang ingin Anda kecualikan.
Domain akan ditambahkan ke daftar. Pilih Kecualikan domain untuk menyelesaikan pengecualian.
Anda kemudian akan melihat domain dalam daftar entitas yang akan dikecualikan dari semua aturan deteksi. Anda dapat mengekspor daftar, atau menghapus entitas dengan memilihnya dan memilih tombol Hapus .
