この記事では、Microsoft Defender XDRでMicrosoft Defender for Identity検出除外を構成する方法について説明します。
Microsoft Defender for Identityでは、特定の IP アドレス、コンピューター、ドメイン、またはユーザーを多数の検出から除外できます。
たとえば、 DNS 偵察 アラートは、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーによってトリガーされる可能性があります。 除外を作成すると、Defender for Identity はこのようなスキャナーを無視し、誤検知を減らすことができます。
注:
除外を使用するのではなく 、アラートを調整 することをお勧めします。 アラート チューニング ルールでは、除外よりも詳細な条件が許可され、チューニングされたアラートを確認できます。
注:
DNS アラートに対する疑わしい通信が開かれた最も一般的なドメインのうち、ユーザーがアラートから最も除外したドメインを確認しました。 これらのドメインは既定で除外リストに追加されますが、簡単に削除することもできます。
検出除外を追加する方法
Microsoft Defender XDRで、[設定]、[ID] の順に移動します。
左側のメニューに [除外されたエンティティ] が表示されます。
その後、 検出ルール による除外と グローバル除外エンティティの 2 つの方法で除外を設定できます。
検出ルールによる除外
左側のメニューで、[ 検出ルールによる除外] を選択します。 検出ルールの一覧が表示されます。
構成する検出ごとに、次の手順を実行します。
ルールを選択します。 検索バーを使用して検出を検索できます。 選択すると、検出ルールの詳細が表示されたウィンドウが開きます。
除外を追加するには、[ 除外されたエンティティ ] ボタンを選択し、除外の種類を選択します。 ルールごとに異なる除外エンティティを使用できます。 これには、ユーザー、デバイス、ドメイン、IP アドレスが含まれます。 この例では、[ デバイスの除外] と [ IP アドレスの除外] を選択します。
除外の種類を選択した後、除外を追加できます。 開いたウィンドウで、[ + ] ボタンを選択して除外を追加します。
次に、除外するエンティティを追加します。 [ + 追加] を選択して、エンティティを一覧に追加します。
次に、[ IP アドレスの除外 ] (この例では) を選択して除外を完了します。
除外を追加したら、[除外 されたエンティティ ] ボタンに戻ってリストをエクスポートするか、除外を削除できます。 この例では、[ デバイスの除外] に戻っています。 リストをエクスポートするには、下矢印ボタンを選択します。
除外を削除するには、除外を選択し、ごみ箱アイコンを選択します。
グローバル除外エンティティ
グローバル除外エンティティによる除外を構成できるようになりました。 グローバル除外を使用すると、Defender for Identity が持つすべての検出で除外される特定のエンティティ (IP アドレス、サブネット、デバイス、またはドメイン) を定義できます。 たとえば、デバイスを除外する場合は、検出の一部としてデバイス識別を持つ検出にのみ適用されます。
左側のメニューで、[ グローバル除外エンティティ] を選択します。 除外できるエンティティのカテゴリが表示されます。
除外の種類を選択します。 この例では、[ドメインの 除外] を選択しました。
除外するドメインを追加できるウィンドウが開きます。 除外するドメインを追加します。
ドメインが一覧に追加されます。 除外を完了するには 、[ドメインの除外] を選択します。
その後、すべての検出ルールから除外するエンティティの一覧にドメインが表示されます。 リストをエクスポートするか、エンティティを選択して [削除] ボタンを選択してエンティティを 削除 できます。