Configurar o Defender para exclusões de deteção de identidade no Microsoft Defender XDR

Este artigo explica como configurar o Microsoft Defender para exclusões de deteção de identidade no Microsoft Defender XDR.

O Microsoft Defender for Identity permite a exclusão de endereços IP, computadores, domínios ou usuários específicos de várias deteções.

Por exemplo, um alerta de reconhecimento de DNS pode ser acionado por um verificador de segurança que usa o DNS como mecanismo de verificação. Criar uma exclusão ajuda o Defender for Identity a ignorar esses scanners e reduzir os falsos positivos.

Nota

Recomendamos que você ajuste um alerta em vez de usar exclusões. As regras de ajuste de alertas permitem condições mais granulares do que exclusões e permitem que você revise os alertas que foram ajustados.

Nota

Dos domínios mais comuns com alertas de comunicação suspeita sobre DNS abertos neles, observamos os domínios que os clientes mais excluíram do alerta. Esses domínios são adicionados à lista de exclusões por padrão, mas você tem a opção de removê-los facilmente.

Como adicionar exclusões de deteção

1. No Microsoft Defender XDR, vá para Configurações e, em seguida, Identidades.

   

2. Em seguida, você verá Entidades excluídas no menu à esquerda.

   

   Em seguida, você pode definir exclusões por dois métodos: Exclusões por regra de deteção e Entidades excluídas globais.

Exclusões por regra de deteção

1. No menu à esquerda, selecione Exclusões por regra de deteção. Você verá uma lista de regras de deteção.

   

2. Para cada deteção que você deseja configurar, execute as seguintes etapas:

   1. Selecione a regra. Você pode pesquisar deteções usando a barra de pesquisa. Uma vez selecionado, um painel será aberto com os detalhes da regra de deteção.

      

   2. Para adicionar uma exclusão, selecione o botão Entidades excluídas e escolha o tipo de exclusão. Diferentes entidades excluídas estão disponíveis para cada regra. Incluem utilizadores, dispositivos, domínios e endereços IP. Neste exemplo, as opções são Excluir dispositivos e Excluir endereços IP.

      

   3. Depois de escolher o tipo de exclusão, você pode adicionar a exclusão. No painel que se abre, selecione o + botão para adicionar a exclusão.

      

   4. Em seguida, adicione a entidade a ser excluída. Selecione + Adicionar para adicionar a entidade à lista.

      

   5. Em seguida, selecione Excluir endereços IP (neste exemplo) para concluir a exclusão.

      

   6. Depois de adicionar exclusões, você pode exportar a lista ou remover as exclusões retornando ao botão Entidades excluídas. Neste exemplo, voltamos a Excluir dispositivos. Para exportar a lista, selecione o botão de seta para baixo.

      

   7. Para excluir uma exclusão, selecione a exclusão e selecione o ícone da reciclagem.

      

Entidades globais excluídas

Agora você também pode configurar exclusões por entidades excluídas globais. As exclusões globais permitem que você defina determinadas entidades (endereços IP, sub-redes, dispositivos ou domínios) a serem excluídas em todas as deteções do Defender for Identity. Assim, por exemplo, se você excluir um dispositivo, ele só se aplicará às deteções que têm a identificação do dispositivo como parte da deteção.

1. No menu à esquerda, selecione Entidades excluídas globais. Você verá as categorias de entidades que pode excluir.

   

2. Escolha um tipo de exclusão. Neste exemplo, selecionamos Excluir domínios.

   

3. Será aberto um painel onde pode adicionar um domínio a excluir. Adicione o domínio que deseja excluir.

   

4. O domínio será adicionado à lista. Selecione Excluir domínios para concluir a exclusão.

   

5. Em seguida, você verá o domínio na lista de entidades a serem excluídas de todas as regras de deteção. Você pode exportar a lista ou remover as entidades escolhendo-as e selecionando o botão Remover .

   

Próximos passos

• Configurar coleção de eventos
• Confira o fórum Defender for Identity!