A Defender for Identity észlelési kizárásainak konfigurálása a Microsoft Defender XDR-ben
Ez a cikk azt ismerteti, hogyan konfigurálhat Microsoft Defender for Identity észlelési kizárásokat Microsoft Defender XDR.
Microsoft Defender for Identity lehetővé teszi bizonyos IP-címek, számítógépek, tartományok vagy felhasználók kizárását számos észlelésből.
Egy DNS-felderítési riasztást például aktiválhat egy biztonsági ellenőrző eszköz, amely DNS-t használ vizsgálati mechanizmusként. A kizárások létrehozásával a Defender for Identity figyelmen kívül hagyhatja az ilyen ellenőrzőeszközöket, és csökkentheti a vakriasztásokat.
Megjegyzés:
Azt javasoljuk, hogy kizárások használata helyett hangoljon egy riasztást . A riasztáshangolási szabályok részletesebb feltételeket biztosítanak, mint a kizárások, és lehetővé teszik a hangolt riasztások áttekintését.
Megjegyzés:
A leggyakrabban megnyitott DNS-riasztásokkal kapcsolatos gyanús kommunikációval rendelkező tartományok közül azokat a tartományokat figyeltük meg, amelyeket az ügyfelek leginkább kizártak a riasztásból. Ezek a tartományok alapértelmezés szerint felkerülnek a kizárási listára, de egyszerűen eltávolíthatja őket.
Észlelési kizárások hozzáadása
A Microsoft Defender XDR válassza a Beállítások, majd az Identitások lehetőséget.
Ezután a bal oldali menüben megjelenik a Kizárt entitások elem.
A kizárásokat ezután két módszerrel állíthatja be: Kizárások észlelési szabály és Globális kizárt entitások alapján.
Kizárások észlelési szabály alapján
A bal oldali menüben válassza a Kizárások észlelési szabály alapján lehetőséget. Megjelenik az észlelési szabályok listája.
Minden konfigurálni kívánt észlelés esetében hajtsa végre a következő lépéseket:
Válassza ki a szabályt. Az észlelések kereséséhez használja a keresősávot. A kijelölést követően megnyílik egy ablaktábla az észlelési szabály részleteivel.
Kizárás hozzáadásához válassza a Kizárt entitások gombot, majd válassza ki a kizárás típusát. Minden szabályhoz különböző kizárt entitások érhetők el. Ezek közé tartoznak a felhasználók, az eszközök, a tartományok és az IP-címek. Ebben a példában az Eszközök kizárása és az IP-címek kizárása lehetőségek közül választhat.
A kizárás típusának kiválasztása után hozzáadhatja a kizárást. A megnyíló panelen kattintson a gombra a + kizárás hozzáadásához.
Ezután adja hozzá a kizárandó entitást. Válassza a + Hozzáadás lehetőséget az entitás listához való hozzáadásához.
Ezután válassza az IP-címek kizárása (ebben a példában) lehetőséget a kizárás befejezéséhez.
A kizárások hozzáadása után exportálhatja a listát, vagy eltávolíthatja a kizárásokat a Kizárt entitások gombra való visszatéréssel. Ebben a példában visszaléptünk az Eszközök kizárása területre. A lista exportálásához válassza a lefelé mutató nyílgombot.
Egy kizárás törléséhez válassza ki a kizárást, és válassza a kuka ikont.
Globális kizárt entitások
Mostantól globális kizárt entitások szerint is konfigurálhatja a kizárásokat. A globális kizárások lehetővé teszik bizonyos entitások (IP-címek, alhálózatok, eszközök vagy tartományok) meghatározását, amelyek kizárhatók a Defender for Identity összes észlelése során. Ha például kizár egy eszközt, az csak azokra az észlelésekre vonatkozik, amelyek az észlelés részeként rendelkeznek eszközazonosítással.
A bal oldali menüben válassza a Globális kizárt entitások lehetőséget. Látni fogja a kizárható entitáskategóriákat.
Válasszon ki egy kizárási típust. Ebben a példában a Tartományok kizárása lehetőséget választottuk.
Ekkor megnyílik egy panel, ahol felvehet egy kizárandó tartományt. Adja hozzá a kizárni kívánt tartományt.
A tartomány hozzá lesz adva a listához. A kizárás befejezéséhez válassza a Tartományok kizárása lehetőséget.
Ezután megjelenik a tartomány az összes észlelési szabályból kizárandó entitások listájában. Exportálhatja a listát, vagy eltávolíthatja az entitásokat, ha kiválasztja őket, majd az Eltávolítás gombra kattint.