Microsoft Defender XDR'de Kimlik algılama dışlamaları için Defender'ı yapılandırma

Bu makalede, Microsoft Defender XDR'de Kimlik için Microsoft Defender algılama dışlamalarının nasıl yapılandırıldığı açıklanır.

Kimlik için Microsoft Defender belirli IP adreslerinin, bilgisayarların, etki alanlarının veya kullanıcıların bir dizi algılamadan dışlanmasını sağlar.

Örneğin, DNS Keşif uyarısı, tarama mekanizması olarak DNS kullanan bir güvenlik tarayıcısı tarafından tetiklenebilir. Dışlama oluşturmak, Kimlik için Defender'ın bu tür tarayıcıları yoksaymalarına ve hatalı pozitif sonuçları azaltmalarına yardımcı olur.

Not

Dışlamaları kullanmak yerine bir uyarıyı ayarlamanızı öneririz. Uyarı ayarlama kuralları dışlamalardan daha ayrıntılı koşullara olanak sağlar ve ayarlanmış uyarıları gözden geçirmenize olanak sağlar.

Not

DNS uyarıları üzerinden şüpheli iletişimin açık olduğu en yaygın etki alanlarından, müşterilerin uyarının dışında en çok dışlanan etki alanlarını gözlemledik. Bu etki alanları varsayılan olarak dışlamalar listesine eklenir, ancak bunları kolayca kaldırma seçeneğiniz vardır.

Algılama dışlamaları ekleme

1. Microsoft Defender XDR'de Ayarlar ve ardından Kimlikler'e gidin.

   

2. Ardından sol taraftaki menüde Dışlanan varlıklar'ı görürsünüz.

   

   Ardından, dışlamaları iki yöntemle ayarlayabilirsiniz: Algılama kuralına göre dışlamalar ve Genel dışlanan varlıklar.

Algılama kuralına göre dışlamalar

1. Sol taraftaki menüde Algılama kuralına göre dışlamalar'ı seçin. Algılama kurallarının listesini görürsünüz.

   

2. Yapılandırmak istediğiniz her algılama için aşağıdaki adımları uygulayın:

   1. Kuralı seçin. Arama çubuğunu kullanarak algılamaları arayabilirsiniz. Seçildikten sonra algılama kuralı ayrıntılarını içeren bir bölme açılır.

      

   2. Dışlama eklemek için Dışlanan varlıklar düğmesini ve ardından dışlama türünü seçin. Her kural için farklı dışlanmış varlıklar kullanılabilir. Bunlar kullanıcıları, cihazları, etki alanlarını ve IP adreslerini içerir. Bu örnekte, seçenekler Cihazları dışla ve IP adreslerini dışla'dır.

      

   3. Dışlama türünü seçtikten sonra dışlama ekleyebilirsiniz. Açılan bölmede dışlama eklemek için düğmeyi seçin + .

      

   4. Ardından dışlanacak varlığı ekleyin. Varlığı listeye eklemek için + Ekle'yi seçin.

      

   5. Ardından dışlamayı tamamlamak için IP adreslerini dışla 'yı (bu örnekte) seçin.

      

   6. Dışlamalar ekledikten sonra, Dışlanan varlıklar düğmesine dönerek listeyi dışarı aktarabilir veya dışlamaları kaldırabilirsiniz. Bu örnekte Cihazları dışla'ya geri döndük. Listeyi dışarı aktarmak için aşağı ok düğmesini seçin.

      

   7. Dışlama silmek için dışlama öğesini seçin ve çöp kutusu simgesini seçin.

      

Genel dışlanan varlıklar

Artık Genel dışlanan varlıklar tarafından dışlanan dışlamaları da yapılandırabilirsiniz. Genel dışlamalar, Kimlik için Defender'ın tüm algılamalarında dışlanacak belirli varlıkları (IP adresleri, alt ağlar, cihazlar veya etki alanları) tanımlamanızı sağlar. Örneğin, bir cihazı dışlarsanız, yalnızca algılamanın bir parçası olarak cihaz tanımlamasına sahip olan algılamalar için geçerli olur.

1. Sol taraftaki menüde Genel dışlanan varlıklar'ı seçin. Dışlayabileceğiniz varlık kategorilerini görürsünüz.

   

2. Bir dışlama türü seçin. Bu örnekte Etki alanlarını dışla'yı seçtik.

   

3. Dışlanacak bir etki alanı ekleyebileceğiniz bir bölme açılır. Dışlamak istediğiniz etki alanını ekleyin.

   

4. Etki alanı listeye eklenir. Dışlamayı tamamlamak için Etki alanlarını dışla'yı seçin.

   

5. Ardından etki alanını tüm algılama kurallarından dışlanacak varlıklar listesinde görürsünüz. Listeyi dışarı aktarabilir veya varlıkları seçip Kaldır düğmesini seçerek kaldırabilirsiniz.

   

Sonraki adımlar

• Olay koleksiyonunu yapılandırma
• Kimlik için Defender forumunu inceleyin!