Microsoft Defender XDR'de Kimlik algılama dışlamaları için Defender'ı yapılandırma
Bu makalede, Microsoft Defender XDR'de Kimlik için Microsoft Defender algılama dışlamalarının nasıl yapılandırılır açıklanmaktadır.
Kimlik için Microsoft Defender belirli IP adreslerinin, bilgisayarların, etki alanlarının veya kullanıcıların çeşitli algılamalardan dışlanmasını sağlar.
Örneğin, DNS Keşif uyarısı, DNS'yi tarama mekanizması olarak kullanan bir güvenlik tarayıcısı tarafından tetiklenebilir. Dışlama oluşturmak, Kimlik için Defender'ın bu tür tarayıcıları yoksaymalarına ve hatalı pozitif sonuçları azaltmalarına yardımcı olur.
Not
Dışlamaları kullanmak yerine bir uyarıyı ayarlamanızı öneririz. Uyarı ayarlama kuralları dışlamalardan daha ayrıntılı koşullara olanak sağlar ve ayarlanmış uyarıları gözden geçirmenize olanak sağlar.
Not
DNS uyarıları üzerinden şüpheli iletişim açılan en yaygın etki alanlarından, müşterilerin uyarının dışında en çok dışlandığı etki alanlarını gözlemledik. Bu etki alanları varsayılan olarak dışlamalar listesine eklenir, ancak bunları kolayca kaldırma seçeneğiniz vardır.
Algılama dışlamaları ekleme
Microsoft Defender XDR'daAyarlar'a ve ardından Kimlikler'e gidin.
Ardından sol taraftaki menüde Dışlanan varlıklar'ı görürsünüz.
Ardından dışlamaları iki yöntemle ayarlayabilirsiniz: Algılama kuralına göre dışlamalar ve Genel dışlanan varlıklar.
Algılama kuralına göre dışlamalar
Sol taraftaki menüde Algılama kuralına göre dışlamalar'ı seçin. Algılama kurallarının listesini görürsünüz.
Yapılandırmak istediğiniz her algılama için aşağıdaki adımları uygulayın:
Kuralı seçin. Arama çubuğunu kullanarak algılamaları arayabilirsiniz. Seçildikten sonra algılama kuralı ayrıntılarını içeren bir bölme açılır.
Dışlama eklemek için Dışlanan varlıklar düğmesini ve ardından dışlama türünü seçin. Her kural için farklı dışlanmış varlıklar kullanılabilir. Kullanıcılar, cihazlar, etki alanları ve IP adreslerini içerir. Bu örnekte, seçenekler Cihazları dışla ve IP adreslerini hariç tut seçenekleridir.
Dışlama türünü seçtikten sonra dışlamayı ekleyebilirsiniz. Açılan bölmede dışlama eklemek için düğmeyi seçin + .
Ardından dışlanacak varlığı ekleyin. Varlığı listeye eklemek için + Ekle'yi seçin.
Ardından dışlamayı tamamlamak için IP adreslerini dışla 'yı (bu örnekte) seçin.
Dışlamalar ekledikten sonra Dışlanan varlıklar düğmesine dönerek listeyi dışarı aktarabilir veya dışlamaları kaldırabilirsiniz. Bu örnekte Cihazları dışla'ya geri döndük. Listeyi dışarı aktarmak için aşağı ok düğmesini seçin.
Bir dışlama silmek için dışlama'yı seçin ve çöp kutusu simgesini seçin.
Genel dışlanan varlıklar
Artık Dışlamaları Genel dışlanan varlıklara göre de yapılandırabilirsiniz. Genel dışlamalar, Kimlik için Defender'ın tüm algılamalarında dışlanacak belirli varlıkları (IP adresleri, alt ağlar, cihazlar veya etki alanları) tanımlamanızı sağlar. Bu nedenle, örneğin, bir cihazı dışlarsanız, yalnızca algılamanın bir parçası olarak cihaz tanımlamasına sahip olan algılamalar için geçerli olur.
Sol taraftaki menüde Genel dışlanan varlıklar'ı seçin. Dışlayabileceğiniz varlık kategorilerini görürsünüz.
Bir dışlama türü seçin. Bu örnekte Etki alanlarını dışla'yı seçtik.
Dışlanacak bir etki alanı ekleyebileceğiniz bir bölme açılır. Dışlamak istediğiniz etki alanını ekleyin.
Etki alanı listeye eklenir. Dışlamayı tamamlamak için Etki alanlarını dışla'yı seçin.
Ardından tüm algılama kurallarının dışında tutulacak varlık listesinde etki alanını görürsünüz. Listeyi dışarı aktarabilir veya varlıkları seçip Kaldır düğmesini seçerek kaldırabilirsiniz.