Microsoft Defender XDR에서 Defender for Identity 검색 제외 구성

이 문서에서는 Microsoft Defender XDR에서 Microsoft Defender for Identity 검색 제외를 구성하는 방법을 설명합니다.

Microsoft Defender for Identity를 사용하면 여러 검색에서 특정 IP 주소, 컴퓨터, 할기본 또는 사용자를 제외할 수 있습니다.

예를 들어 DNS를 검사 메커니즘으로 사용하는 보안 스캐너에서 DNS 정찰 경고를 트리거할 수 있습니다. 제외를 만들면 Defender for Identity에서 이러한 스캐너를 무시하고 가양성을 줄일 수 있습니다.

참고 항목

제외를 사용하는 대신 경고를 조정하는 것이 좋습니다. 경고 튜닝 규칙은 제외보다 더 세부적인 조건을 허용하며 조정된 경고를 검토할 수 있습니다.

참고 항목

DNS 경고를 통한 의심스러운 통신이 열린 가장 일반적인 기본 중, 고객이 경고에서 가장 많이 제외되는 기본 관찰했습니다. 이러한 작업은기본 기본적으로 제외 목록에 추가되지만 쉽게 제거할 수 있는 옵션이 있습니다.

검색 제외를 추가하는 방법

1. Microsoft Defender XDR에서 설정 다음 ID로 이동합니다.

   

2. 그러면 왼쪽 메뉴에 제외된 엔터티가 표시됩니다.

   

   그런 다음, 검색 규칙별 제외 및 전역 제외 엔터티의 두 가지 방법으로 제외를 설정할 수 있습니다.

검색 규칙에 의한 제외

1. 왼쪽 메뉴에서 검색 규칙에 따라 제외를 선택합니다. 검색 규칙 목록이 표시됩니다.

   

2. 구성하려는 각 검색에 대해 다음 단계를 수행합니다.

   1. 규칙을 선택합니다. 검색 표시줄을 사용하여 검색을 검색할 수 있습니다. 선택하면 검색 규칙 세부 정보가 포함된 창이 열립니다.

      

   2. 제외를 추가하려면 제외된 엔터티 단추를 선택한 다음 제외 유형을 선택합니다. 각 규칙에 대해 다른 제외된 엔터티를 사용할 수 있습니다. 여기에는 사용자, 디바이스, do기본 및 IP 주소가 포함됩니다. 이 예제에서 선택 항목은 디바이스 제외 및 IP 주소 제외입니다.

      

   3. 제외 유형을 선택한 후 제외를 추가할 수 있습니다. 열리는 창에서 단추를 선택하여 + 제외를 추가합니다.

      

   4. 그런 다음 제외할 엔터티를 추가합니다. + 추가를 선택하여 엔터티를 목록에 추가합니다.

      

   5. 그런 다음( 이 예제에서) IP 주소 제외를 선택하여 제외를 완료합니다.

      

   6. 제외를 추가한 후에는 제외된 엔터티 단추로 돌아가 서 목록을 내보내거나 제외를 제거할 수 있습니다 . 이 예제에서는 디바이스 제외로 돌아왔습니다. 목록을 내보내려면 아래쪽 화살표 단추를 선택합니다.

      

   7. 제외를 삭제하려면 제외를 선택하고 휴지통 아이콘을 선택합니다.

      

전역 제외 엔터티

이제 전역 제외 엔터티에서 제외를 구성할 수도 있습니다. 전역 제외를 사용하면 Defender for Identity가 가지는 모든 검색에서 제외할 특정 엔터티(IP 주소, 서브넷, 디바이스 또는 할기본)를 정의할 수 있습니다. 예를 들어 디바이스를 제외하는 경우 검색의 일부로 디바이스 식별이 있는 검색에만 적용됩니다.

1. 왼쪽 메뉴에서 전역 제외 엔터티를 선택합니다. 제외할 수 있는 엔터티의 범주가 표시됩니다.

   

2. 제외 유형을 선택합니다. 이 예제에서는 do기본 제외를 선택했습니다.

   

3. 제외할 할 일기본 추가할 수 있는 창이 열립니다. 제외하려는 do기본 추가합니다.

   

4. do기본 목록에 추가됩니다. 제외 작업을 기본 선택하여 제외를 완료합니다.

   

5. 그러면 모든 검색 규칙에서 제외할 엔터티 목록에 do기본가 표시됩니다. 목록을 내보내거나 엔터티를 선택하고 제거 단추를 선택하여 제거할 수 있습니다.

   

다음 단계

• 이벤트 컬렉션 구성
• Defender for Identity 포럼 확인