在 Microsoft 365 Defender 中設定適用于身分識別的 Defender 偵測排除專案

注意

此頁面所述的體驗可以在 Microsoft 365 Defender 中存取 https://security.microsoft.com

本文說明如何在 Microsoft 365 Defender中設定適用於身分識別的 Microsoft Defender偵測排除專案。

適用於身分識別的 Microsoft Defender可排除來自許多偵測的特定 IP 位址、電腦、網域或使用者。

例如,使用 DNS 作為掃描機制的安全性掃描器可能會觸發 DNS 偵察 警示。 建立排除可協助適用于身分識別的 Defender 忽略這類掃描器並減少誤判。

注意

在透過 DNS 警示開啟的 可疑通訊 的最常見網域中,我們觀察到客戶最常從警示中排除的網域。 根據預設,這些網域會新增至排除清單,但您可以選擇輕鬆移除它們。

如何新增偵測排除專案

  1. [Microsoft 365 Defender] 中,移至 [設定],然後移至 [身分識別]。

    移至 [設定],然後移至 [身分識別]。

  2. 接著,您會在左側功能表中看到 [排除的實體 ]。

    排除的實體。

然後,您可以透過兩種方法來設定排除專案: 依偵測規則 排除和 全域排除實體

依偵測規則排除

  1. 在左側功能表中,選取 [依偵測規則排除]。 您會看到偵測規則的清單。

    依偵測規則排除。

  2. 針對您想要設定的每個偵測,請執行下列步驟:

    1. 選取規則。 您可以使用搜尋列來搜尋偵測。 選取之後,將會開啟具有偵測規則詳細資料的窗格。

      偵測規則詳細資料。

    2. 若要新增排除專案,請選取 [ 排除的實體 ] 按鈕,然後選擇排除類型。 每個規則都有不同的排除實體可用。 其中包括使用者、裝置、網域和 IP 位址。 在此範例中,選項為 [排除裝置 ] 和 [ 排除 IP 位址]。

      排除裝置或 IP 位址。

    3. 選擇排除類型之後,您可以新增排除專案。 在開啟的窗格中,選取 + 要新增排除專案的按鈕。

      [新增排除項目]。

    4. 然後新增要排除的實體。 選取 [+ 新增 ] 以將實體新增至清單。

      新增要排除的實體。

    5. 然後選取 [在此範例中 (排除 IP 位址 ],) 完成排除。

      排除 IP 位址。

    6. 新增排除專案之後,您可以藉由返回 [ 排除的實體 ] 按鈕來匯出清單或移除排除專案。 在此範例中,我們已返回 [排除裝置]。 若要匯出清單,請選取向下箭號按鈕。

      返回 [排除裝置]。

    7. 若要刪除排除專案,請選取排除範圍,然後選取垃圾桶圖示。

      刪除排除專案。

全域排除實體

您現在可以設定 全域排除實體的排除專案。 全域排除專案可讓您定義特定實體 (IP 位址、子網、裝置或網域,) 在適用于身分識別的 Defender 擁有的所有偵測中排除。 例如,如果您排除裝置,它只會套用到具有裝置識別作為偵測一部分的偵測。

  1. 在左側功能表中,選取 [ 全域排除的實體]。 您會看到您可以排除的實體類別。

    全域排除的實體。

  2. 選擇排除類型。 在此範例中,我們選取了 [排除網域]。

    排除網域。

  3. 窗格隨即開啟,您可以在其中新增要排除的網域。 新增您想要排除的網域。

    新增要排除的網域。

  4. 網域將會新增至清單。 選取 [排除網域 ] 以完成排除。

    選取 [排除網域]。

  5. 然後,您會在實體清單中看到要從所有偵測規則中排除的網域。 您可以選取清單,然後按一下 [ 移除 ] 按鈕來匯出清單或移除實體。

    全域排除專案的清單。

另請參閱