Konfigurowanie wykluczeń wykrywania tożsamości w usłudze Defender XDR
W tym artykule wyjaśniono, jak skonfigurować wykluczenia wykrywania tożsamości w usłudze Microsoft Defender XDR.
Usługa Microsoft Defender for Identity umożliwia wykluczenie określonych adresów IP, komputerów, domen lub użytkowników z wielu wykryć.
Na przykład alert rekonesansu DNS może zostać wyzwolony przez skaner zabezpieczeń, który używa systemu DNS jako mechanizmu skanowania. Utworzenie wykluczenia pomaga usłudze Defender for Identity ignorować takie skanery i zmniejszać liczbę wyników fałszywie dodatnich.
Uwaga
Zalecamy dostosowanie alertu zamiast używania wykluczeń. Reguły dostrajania alertów umożliwiają bardziej szczegółowe warunki niż wykluczenia i umożliwiają przeglądanie alertów, które zostały dostrojone.
Uwaga
Spośród najbardziej typowych domen z podejrzaną komunikacją za pośrednictwem alertów DNS otwartych na nich zaobserwowaliśmy domeny, które klienci najbardziej wykluczeni z alertu. Te domeny są domyślnie dodawane do listy wykluczeń, ale istnieje możliwość ich łatwego usunięcia.
Jak dodać wykluczenia wykrywania
W usłudze Microsoft Defender XDR przejdź do Ustawienia, a następnie pozycję Tożsamości.
W menu po lewej stronie zobaczysz pozycję Wykluczone jednostki .
Następnie można ustawić wykluczenia według dwóch metod: Wykluczenia według reguły wykrywania i globalnych wykluczonych jednostek.
Wykluczenia według reguły wykrywania
W menu po lewej stronie wybierz pozycję Wykluczenia według reguły wykrywania. Zostanie wyświetlona lista reguł wykrywania.
Dla każdego wykrywania, które chcesz skonfigurować, wykonaj następujące czynności:
Wybierz regułę. Wykrywanie można wyszukiwać przy użyciu paska wyszukiwania. Po wybraniu okienko zostanie otwarte ze szczegółami reguły wykrywania.
Aby dodać wykluczenie, wybierz przycisk Wykluczone jednostki , a następnie wybierz typ wykluczenia. Dla każdej reguły są dostępne różne wykluczone jednostki. Obejmują one użytkowników, urządzenia, domeny i adresy IP. W tym przykładzie opcje to Wykluczanie urządzeń i Wykluczanie adresów IP.
Po wybraniu typu wykluczenia można dodać wykluczenie. W otwartym okienku wybierz + przycisk , aby dodać wykluczenie.
Następnie dodaj jednostkę, która ma zostać wykluczona. Wybierz pozycję + Dodaj , aby dodać jednostkę do listy.
Następnie wybierz pozycję Wyklucz adresy IP (w tym przykładzie), aby ukończyć wykluczenie.
Po dodaniu wykluczeń możesz wyeksportować listę lub usunąć wykluczenia, wracając do przycisku Wykluczone jednostki . W tym przykładzie wróciliśmy do pozycji Wyklucz urządzenia. Aby wyeksportować listę, wybierz przycisk strzałki w dół.
Aby usunąć wykluczenie, wybierz wykluczenie i wybierz ikonę kosza.
Jednostki wykluczone globalnie
Teraz można również skonfigurować wykluczenia według globalnych wykluczonych jednostek. Wykluczenia globalne umożliwiają zdefiniowanie określonych jednostek (adresów IP, podsieci, urządzeń lub domen) do wykluczenia we wszystkich wykrywaniach usługi Defender for Identity. Jeśli na przykład wykluczysz urządzenie, będzie ono stosowane tylko do tych wykryć, które mają identyfikację urządzenia w ramach wykrywania.
W menu po lewej stronie wybierz pozycję Globalne wykluczone jednostki. Zobaczysz kategorie jednostek, które można wykluczyć.
Wybierz typ wykluczenia. W tym przykładzie wybraliśmy opcję Wyklucz domeny.
Zostanie otwarte okienko, w którym można dodać domenę do wykluczenia. Dodaj domenę, którą chcesz wykluczyć.
Domena zostanie dodana do listy. Wybierz pozycję Wyklucz domeny , aby ukończyć wykluczenie.
Następnie zobaczysz domenę na liście jednostek, które mają zostać wykluczone ze wszystkich reguł wykrywania. Możesz wyeksportować listę lub usunąć jednostki, wybierając je i wybierając przycisk Usuń .
