Megosztás a következőn keresztül:


A Defender for Identity észlelési kizárásainak konfigurálása a Microsoft Defender XDR-ben

Ez a cikk azt ismerteti, hogyan konfigurálhat Microsoft Defender for Identity észlelési kizárásokat Microsoft Defender XDR.

Microsoft Defender for Identity lehetővé teszi bizonyos IP-címek, számítógépek, tartományok vagy felhasználók kizárását számos észlelésből.

Egy DNS-felderítési riasztást például aktiválhat egy biztonsági ellenőrző eszköz, amely DNS-t használ vizsgálati mechanizmusként. A kizárások létrehozásával a Defender for Identity figyelmen kívül hagyhatja az ilyen ellenőrzőeszközöket, és csökkentheti a vakriasztásokat.

Megjegyzés:

Azt javasoljuk, hogy kizárások használata helyett hangoljon egy riasztást . A riasztáshangolási szabályok részletesebb feltételeket biztosítanak, mint a kizárások, és lehetővé teszik a hangolt riasztások áttekintését.

Megjegyzés:

A leggyakrabban megnyitott DNS-riasztásokkal kapcsolatos gyanús kommunikációval rendelkező tartományok közül azokat a tartományokat figyeltük meg, amelyeket az ügyfelek leginkább kizártak a riasztásból. Ezek a tartományok alapértelmezés szerint felkerülnek a kizárási listára, de egyszerűen eltávolíthatja őket.

Észlelési kizárások hozzáadása

  1. A Microsoft Defender XDR válassza a Beállítások, majd az Identitások lehetőséget.

    Lépjen a Beállítások, majd az Identitások területre.

  2. Ezután a bal oldali menüben megjelenik a Kizárt entitások elem.

    Kizárt entitások.

    A kizárásokat ezután két módszerrel állíthatja be: Kizárások észlelési szabály és Globális kizárt entitások alapján.

Kizárások észlelési szabály alapján

  1. A bal oldali menüben válassza a Kizárások észlelési szabály alapján lehetőséget. Megjelenik az észlelési szabályok listája.

    Kizárások észlelési szabály alapján.

  2. Minden konfigurálni kívánt észlelés esetében hajtsa végre a következő lépéseket:

    1. Válassza ki a szabályt. Az észlelések kereséséhez használja a keresősávot. A kijelölést követően megnyílik egy ablaktábla az észlelési szabály részleteivel.

      Az észlelési szabály részletei.

    2. Kizárás hozzáadásához válassza a Kizárt entitások gombot, majd válassza ki a kizárás típusát. Minden szabályhoz különböző kizárt entitások érhetők el. Ezek közé tartoznak a felhasználók, az eszközök, a tartományok és az IP-címek. Ebben a példában az Eszközök kizárása és az IP-címek kizárása lehetőségek közül választhat.

      Eszközök vagy IP-címek kizárása.

    3. A kizárás típusának kiválasztása után hozzáadhatja a kizárást. A megnyíló panelen kattintson a gombra a + kizárás hozzáadásához.

      Kizárás hozzáadása.

    4. Ezután adja hozzá a kizárandó entitást. Válassza a + Hozzáadás lehetőséget az entitás listához való hozzáadásához.

      Adjon hozzá egy kizárandó entitást.

    5. Ezután válassza az IP-címek kizárása (ebben a példában) lehetőséget a kizárás befejezéséhez.

      IP-címek kizárása.

    6. A kizárások hozzáadása után exportálhatja a listát, vagy eltávolíthatja a kizárásokat a Kizárt entitások gombra való visszatéréssel. Ebben a példában visszaléptünk az Eszközök kizárása területre. A lista exportálásához válassza a lefelé mutató nyílgombot.

      Térjen vissza az Eszközök kizárása területre.

    7. Egy kizárás törléséhez válassza ki a kizárást, és válassza a kuka ikont.

      Kizárás törlése.

Globális kizárt entitások

Mostantól globális kizárt entitások szerint is konfigurálhatja a kizárásokat. A globális kizárások lehetővé teszik bizonyos entitások (IP-címek, alhálózatok, eszközök vagy tartományok) meghatározását, amelyek kizárhatók a Defender for Identity összes észlelése során. Ha például kizár egy eszközt, az csak azokra az észlelésekre vonatkozik, amelyek az észlelés részeként rendelkeznek eszközazonosítással.

  1. A bal oldali menüben válassza a Globális kizárt entitások lehetőséget. Látni fogja a kizárható entitáskategóriákat.

    Globális kizárt entitások.

  2. Válasszon ki egy kizárási típust. Ebben a példában a Tartományok kizárása lehetőséget választottuk.

    Tartományok kizárása.

  3. Ekkor megnyílik egy panel, ahol felvehet egy kizárandó tartományt. Adja hozzá a kizárni kívánt tartományt.

    Adjon hozzá egy kizárandó tartományt.

  4. A tartomány hozzá lesz adva a listához. A kizárás befejezéséhez válassza a Tartományok kizárása lehetőséget.

    Válassza a tartományok kizárása lehetőséget.

  5. Ezután megjelenik a tartomány az összes észlelési szabályból kizárandó entitások listájában. Exportálhatja a listát, vagy eltávolíthatja az entitásokat, ha kiválasztja őket, majd az Eltávolítás gombra kattint.

    Globális kizárt bejegyzések listája.

Következő lépések