本文介绍如何在Microsoft Defender XDR中排除自动攻击中断自动包含的资产。
自动攻击中断允许从自动遏制作中排除特定用户帐户、设备和 IP 地址。 排除后,这些资产不会受到由攻击中断触发的自动作的影响。
警告
不建议从自动响应中排除资产。 从自动响应中排除资产可能会降低自动攻击中断在保护环境免受复杂、高影响攻击方面的有效性。
先决条件
若要从自动攻击中断中的自动响应中排除资产,必须在Microsoft Entra ID () 或Microsoft 365 管理中心 (https://portal.azure.comhttps://admin.microsoft.com) 中分配以下角色之一:
- 全局管理员
- 安全管理员
查看或更改资产的自动响应排除项
若要从自动攻击中断中的自动响应中排除资产,请执行以下步骤:
转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
转到“设置Microsoft Defender XDR>”。
排除用户帐户
在 “自动响应”下,选择“ 标识”。
若要排除用户帐户,请选择“ 添加用户排除项”。 此时会显示浮出控件窗格。
在浮出控件窗格中,在 “选择用户 ”框中输入用户帐户名称,然后选择要排除的用户帐户。
选择“ 排除用户 ”以保存排除项。
排除设备组
警告
从自动响应中排除设备组也会影响 自动调查和响应 作。
在 “自动响应”下,选择“ 设备”。
在“ 设备组 ”选项卡中,通过从列表中选中组名称旁边的复选框来选择设备组,以配置攻击中断自动化设置。
在浮出控件窗格中,为设备组选择适当的自动化级别。 可以从适用于设备组的以下任何自动化级别中进行选择:
- 完全 - 自动修正威胁:检测到威胁时自动包含设备。
- 半 - 需要批准核心文件夹:在收到警报时自动调查设备,并应用修正作,但核心系统文件夹中的项目除外。 核心文件夹的修正作需要批准。
- 半 - 需要批准非临时文件夹:在收到警报时,自动调查临时文件夹中的作并应用修正和下载作。 所有其他修正作都需要批准。
- 半 - 需要批准所有文件夹:在收到警报时自动调查设备。 所有修正作都需要批准。
- 无自动响应:不会对此组中的设备进行自动调查或响应。
选择“ 保存” 以保存设备组的自动化级别。
重要
本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
排除 IP
在 “自动响应”下,选择“ 设备”。
在“ IP ”选项卡中,选择“ 排除 IP ”以排除 IP 地址。
在浮出控件窗格中,输入要排除的 IP 地址/IP 范围/IP 子网。 可以通过用逗号分隔多个 IP 地址和 IP 子网来添加这些地址和 IP 子网。
为排除项添加名称和注释。 选择“ 创建 ”以保存排除项。
删除排除项
删除排除项:
- 转到 “标识” 页。 选择要从列表中删除的用户帐户,然后选择“ 删除”。
- 转到 “设备 ”页并导航到“ IP ”选项卡。选择要从列表中删除的 IP 地址,然后选择“ 删除排除项”。
- 可以在“设备组”选项卡中配置 设备组 排除项。从列表中选择要配置的设备组,并从浮出控件窗格中选择相应的排除项。 选择“ 保存” 以保存排除项。
选择退出自动攻击中断
选择退出攻击中断可能会大大增加安全风险。 请考虑 改为排除特定实体 。
如果必须选择退出攻击中断,则可以通过在主题为“攻击中断选择退出”的 Microsoft Defender 门户中打开支持案例来执行此作。在你的请求中,请指定你希望选择退出攻击中断,并包含有关你的决定的简要说明。 此反馈有助于我们改进功能并更好地了解客户需求。 选择退出后,你仍会收到与攻击中断相关的警报,但不会采取自动作。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。