Defender for Identity Detection-uitsluitingen configureren in Microsoft Defender XDR

  • Artikel

In dit artikel wordt uitgelegd hoe u uitsluitingen voor Detectie van identiteiten in Microsoft Defender configureert in Microsoft Defender XDR.

Met Microsoft Defender for Identity kunt u specifieke IP-adressen, computers, domeinen of gebruikers uitsluiten van een aantal detecties.

Een DNS Reconnaissance-waarschuwing kan bijvoorbeeld worden geactiveerd door een beveiligingsscanner die DNS gebruikt als een scanmechanisme. Het maken van een uitsluiting helpt Defender for Identity dergelijke scanners te negeren en fout-positieven te verminderen.

Notitie

U wordt aangeraden een waarschuwing af te stemmen in plaats van uitsluitingen te gebruiken. Met regels voor het afstemmen van waarschuwingen zijn gedetailleerdere voorwaarden toegestaan dan uitsluitingen en kunt u de waarschuwingen bekijken die zijn afgestemd.

Notitie

Van de meest voorkomende domeinen met verdachte communicatie via DNS-waarschuwingen die hierop zijn geopend, hebben we gezien welke domeinen klanten het meest uitgesloten zijn van de waarschuwing. Deze domeinen worden standaard toegevoegd aan de uitsluitingslijst, maar u kunt ze eenvoudig verwijderen.

Detectieuitsluitingen toevoegen

  1. Ga in Microsoft Defender XDR naar Instellingen en vervolgens Identiteiten.

    Go to Settings, then Identities.

  2. Vervolgens ziet u uitgesloten entiteiten in het menu aan de linkerkant.

    Excluded entities.

    U kunt uitsluitingen vervolgens op twee manieren instellen: Uitsluitingen op detectieregel en globale uitgesloten entiteiten.

Uitsluitingen op detectieregel

  1. Selecteer in het linkermenu Uitsluitingen op detectieregel. U ziet een lijst met detectieregels.

    Exclusions by detection rule.

  2. Voor elke detectie die u wilt configureren, voert u de volgende stappen uit:

    1. Selecteer de regel. U kunt zoeken naar detecties met behulp van de zoekbalk. Zodra dit is geselecteerd, wordt er een deelvenster geopend met de details van de detectieregel.

      Detection rule details.

    2. Als u een uitsluiting wilt toevoegen, selecteert u de knop Uitgesloten entiteiten en kiest u vervolgens het uitsluitingstype. Er zijn verschillende uitgesloten entiteiten beschikbaar voor elke regel. Ze omvatten gebruikers, apparaten, domeinen en IP-adressen. In dit voorbeeld zijn de opties Apparaten uitsluiten en IP-adressen uitsluiten.

      Exclude devices or IP addresses.

    3. Nadat u het uitsluitingstype hebt gekozen, kunt u de uitsluiting toevoegen. Selecteer in het deelvenster dat wordt geopend de + knop om de uitsluiting toe te voegen.

      Add an exclusion.

    4. Voeg vervolgens de entiteit toe die moet worden uitgesloten. Selecteer + Toevoegen om de entiteit toe te voegen aan de lijst.

      Add an entity to be excluded.

    5. Selecteer vervolgens IP-adressen uitsluiten (in dit voorbeeld) om de uitsluiting te voltooien.

      Exclude IP addresses.

    6. Zodra u uitsluitingen hebt toegevoegd, kunt u de lijst exporteren of de uitsluitingen verwijderen door terug te keren naar de knop Uitgesloten entiteiten . In dit voorbeeld zijn de apparaten uitgesloten. Als u de lijst wilt exporteren, selecteert u de pijl-omlaag.

      Return to Exclude devices.

    7. Als u een uitsluiting wilt verwijderen, selecteert u de uitsluiting en selecteert u het prullenbakpictogram.

      Delete an exclusion.

Globale uitgesloten entiteiten

U kunt nu ook uitsluitingen configureren door globale uitgesloten entiteiten. Met globale uitsluitingen kunt u bepaalde entiteiten (IP-adressen, subnetten, apparaten of domeinen) definiƫren die moeten worden uitgesloten voor alle detecties die Defender for Identity heeft. Als u bijvoorbeeld een apparaat uitsluit, is dit alleen van toepassing op de detecties die apparaatidentificatie hebben als onderdeel van de detectie.

  1. Selecteer in het menu aan de linkerkant globale uitgesloten entiteiten. U ziet de categorieƫn entiteiten die u kunt uitsluiten.

    Global excluded entities.

  2. Kies een uitsluitingstype. In dit voorbeeld hebben we domeinen uitsluiten geselecteerd.

    Exclude domains.

  3. Er wordt een deelvenster geopend waarin u een domein kunt toevoegen dat moet worden uitgesloten. Voeg het domein toe dat u wilt uitsluiten.

    Add a domain to be excluded.

  4. Het domein wordt toegevoegd aan de lijst. Selecteer Domeinen uitsluiten om de uitsluiting te voltooien.

    Select exclude domains.

  5. Vervolgens ziet u het domein in de lijst met entiteiten die moeten worden uitgesloten van alle detectieregels. U kunt de lijst exporteren of de entiteiten verwijderen door ze te kiezen en de knop Verwijderen te selecteren.

    List of global excluded entries.

Volgende stappen