Настройка исключений обнаружения удостоверений Defender в XDR в Microsoft Defender
В этой статье объясняется, как настроить исключения обнаружения Microsoft Defender для удостоверений в XDR в Microsoft Defender.
Microsoft Defender для удостоверений включает исключение определенных IP-адресов, компьютеров, доменов или пользователей из ряда обнаружений.
Например, оповещение службы "Разведка DNS" может быть активировано сканером безопасности, использующим DNS в качестве механизма сканирования. Создание исключения помогает Defender для идентификации игнорировать такие сканеры и уменьшать ложные срабатывания.
Примечание.
Мы рекомендуем настроить оповещение вместо использования исключений. Правила настройки оповещений позволяют более детализированные условия, чем исключения, и позволяют просматривать оповещения, которые были настроены.
Примечание.
Из наиболее распространенных доменов с подозрительным обменом данными по оповещениям DNS , открытых на них, мы наблюдали домены, которые большинство клиентов исключили из оповещения. Эти домены добавляются в список исключений по умолчанию, но их можно легко удалить.
Добавление исключений обнаружения
В Microsoft Defender XDR перейдите к Параметры и удостоверениям.
Затем вы увидите исключенные сущности в меню слева.
Затем можно задать исключения двумя методами: исключения по правилу обнаружения и глобальным исключенным сущностям.
Исключения по правилу обнаружения
В меню слева выберите исключения по правилу обнаружения. Вы увидите список правил обнаружения.
Для каждого обнаружения, которое требуется настроить, сделайте следующее:
Выберите правило. Вы можете искать обнаружения с помощью панели поиска. После выбора область откроется с подробными сведениями о правиле обнаружения.
Чтобы добавить исключение, нажмите кнопку "Исключенные сущности " и выберите тип исключения. Для каждого правила доступны разные исключенные сущности. Они включают пользователей, устройства, домены и IP-адреса. В этом примере варианты — "Исключить устройства " и "Исключить IP-адреса".
Выбрав тип исключения, можно добавить исключение. В открывающейся области нажмите + кнопку, чтобы добавить исключение.
Затем добавьте сущность, чтобы исключить ее. Нажмите кнопку +Добавить, чтобы добавить сущность в список.
Затем выберите " Исключить IP-адреса " (в этом примере), чтобы завершить исключение.
После добавления исключений можно экспортировать список или удалить исключения, вернувшись к кнопке "Исключенные сущности ". В этом примере мы вернулись в исключение устройств. Чтобы экспортировать список, нажмите кнопку стрелки вниз.
Чтобы удалить исключение, выберите исключение и щелкните значок корзины.
Глобальные исключенные сущности
Теперь можно также настроить исключения для глобальных исключенных сущностей. Глобальные исключения позволяют определить определенные сущности (IP-адреса, подсети, устройства или домены) для исключения во всех обнаружениях Defender для удостоверений. Например, если вы исключите устройство, оно будет применяться только к таким обнаружениям, которые имеют идентификацию устройства в рамках обнаружения.
В меню слева выберите глобальные исключенные сущности. Вы увидите категории сущностей, которые можно исключить.
Выберите тип исключения. В этом примере мы выбрали домены исключения.
Откроется область, в которой можно добавить домен, который будет исключен. Добавьте домен, который требуется исключить.
Домен будет добавлен в список. Выберите " Исключить домены ", чтобы завершить исключение.
Затем вы увидите домен в списке сущностей, которые будут исключены из всех правил обнаружения. Вы можете экспортировать список или удалить сущности, выбрав их и нажав кнопку "Удалить ".
