在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender偵測排除專案

  • 文章

本文說明如何在 Microsoft Defender 全面偵測回應 中設定 適用於身分識別的 Microsoft Defender 偵測排除專案。

適用於身分識別的 Microsoft Defender 可讓您排除來自許多偵測的特定IP位址、計算機、網域或使用者。

例如, 使用 DNS 作為掃描機制的安全性掃描器可能會觸發 DNS 偵察 警示。 建立排除有助於適用於身分識別的 Defender 忽略這類掃描器,並減少誤判。

注意

建議您 調整警示 ,而不是使用排除專案。 警示微調規則允許比排除專案更細微的條件,並可讓您檢閱已微調的警示。

注意

在透過 DNS 警示開啟可疑通訊的最常見網域中,我們觀察到客戶最常從警示中排除的網域。 這些網域預設會新增至排除清單,但您可以選擇輕鬆移除它們。

如何新增偵測排除專案

  1. Microsoft Defender 全面偵測回應 中,移至 [設定] 和 [身分識別]。

    Go to Settings, then Identities.

  2. 接著,您會在左側功能表中看到 [已排除的實體 ]。

    Excluded entities.

    然後,您可以透過兩種方法 來設定排除:依偵測規則全域排除實體排除。

依偵測規則排除

  1. 在左側功能表中,選取 [依偵測規則排除]。 您會看到偵測規則清單。

    Exclusions by detection rule.

  2. 針對您想要設定的每個偵測,請執行下列步驟:

    1. 選取規則。 您可以使用搜尋列來搜尋偵測。 選取之後,就會開啟具有偵測規則詳細數據的窗格。

      Detection rule details.

    2. 若要新增排除專案,請選取 [ 排除的實體 ] 按鈕,然後選擇排除類型。 每個規則都有不同的排除實體可用。 其中包括使用者、裝置、網域和IP位址。 在此範例中,選項為 [排除裝置 ] 和 [排除IP位址]。

      Exclude devices or IP addresses.

    3. 選擇排除類型之後,您可以新增排除。 在開啟的窗格中,選取 + 要新增排除的按鈕。

      Add an exclusion.

    4. 然後新增要排除的實體。 選取 [+ 新增 ] 以將實體新增至清單。

      Add an entity to be excluded.

    5. 然後選取 [ 排除IP位址 ],以完成排除。

      Exclude IP addresses.

    6. 新增排除項目之後,您可以藉由返回 [排除的實體] 按鈕來匯出清單或移除排除專案 。 在此範例中,我們已返回 [ 排除裝置]。 若要匯出清單,請選取向下箭號按鈕。

      Return to Exclude devices.

    7. 若要刪除排除專案,請選取排除項目並選取垃圾桶圖示。

      Delete an exclusion.

全域排除的實體

您現在可以設定 全域排除實體的排除專案。 全域排除專案可讓您定義要排除在適用於身分識別的Defender的所有偵測中的特定實體(IP 位址、子網、裝置或網域)。 例如,如果您排除裝置,它只會套用到具有裝置識別作為偵測一部分的偵測。

  1. 在左側功能表中,選取 [ 全域排除的實體]。 您會看到您可以排除的實體類別。

    Global excluded entities.

  2. 選擇排除類型。 在此範例中,我們選取 [ 排除網域]。

    Exclude domains.

  3. 窗格隨即開啟,您可以在其中新增要排除的網域。 新增您想要排除的網域。

    Add a domain to be excluded.

  4. 網域將會新增至清單。 選取 [排除網域 ] 以完成排除。

    Select exclude domains.

  5. 接著,您會在要從所有偵測規則排除的實體清單中看到網域。 您可以匯出清單,或藉由選擇實體並選取 [移除 ] 按鈕來移除實體。

    List of global excluded entries.

下一步