Ausschließen von Entitäten von der ErkennungExcluding entities from detections

In diesem Artikel wird erläutert, wie Entitäten ausgeschlossen werden, sodass sie keine Warnungen auslösen.This article explains how to exclude entities from triggering alerts. Bestimmte Entitäten werden ausgeschlossen, um unbedenkliche richtig positive Ergebnisse zu reduzieren, während gleichzeitig sichergestellt wird, dass Sie die richtig positiven Ergebnisse ermitteln können.Certain entities are excluded to minimize true benign positives while making sure you can catch the true positives. Um zu verhindern, dass Azure ATP störende Warnungen bei Aktivitäten ausgibt, die bei bestimmten Benutzern zu Ihrem ganz normalen Geschäftsalltag gehören, können Sie bestimmte Entitäten ausschließen, sodass diese keine Warnungen auslösen.In order to keep Azure ATP from creating noise about activities that, from specific users, may be part of your normal rhythm of business, you can quiet - or exclude - specific entities from raising alerts. Zusätzlich werden standardmäßig bestimmte beliebte Entitäten ausgeschlossen.In addition, certain popular entities are excluded by default.

Beispiele: Ein Sicherheitsscanner führt eine DNS-Reconnaissance aus, oder ein Administrator führt Remoteskripts auf dem Domänencontroller aus. Beides sind sanktionierte Aktivitäten, die im Rahmen des alltäglichen IT-Betriebs in Ihrer Organisation durchgeführt werden und ausgeschlossen werden können.For example, if you have a security scanner that does DNS recon or an admin who remotely runs scripts on the domain controller - and these are sanctioned activities whose intent is part of the normal IT operation in your organization, these can be excluded. Weitere Informationen zu jeder Erkennung in Azure ATP, die Ihnen dabei helfen, zu entscheiden, welche Entitäten ausgeschlossen werden sollen, finden Sie im Leitfaden für Sicherheitswarnungen.For more information about each Azure ATP detection to help you decide which entities to exclude, see the Security Alert guide.

Entitäten, die standardmäßig ausgeschlossen werden, sodass sie keine Warnungen auslösen könnenEntities excluded by default from raising alerts

Für bestimmte Warnungen (z.B. verdächtige Kommunikation über DNS) werden automatische Domänenausschlüsse durch Azure ATP basierend auf Kundenfeedback und Recherche hinzugefügt.For certain alerts, such as Suspicious communication over DNS, automatic domain exclusions are added by Azure ATP based on customer feedback and research.

Verdächtige Kommunikation über DNS: automatische Ausschlüsse

Ausschließen von Entitäten, damit diese keine Warnungen auslösenExclude entities from raising alerts

Es gibt zwei Möglichkeiten, Entitäten manuell auszuschließen: entweder direkt über die Sicherheitswarnung oder über die Registerkarte Ausschlüsse auf der Seite Konfiguration.There are two ways you can manually exclude entities, either directly from the security alert, or from the Exclusions tab on the Configuration page.

  • Von der Sicherheitswarnung: Wenn Sie auf der Aktivitätszeitachse eine Warnung oder Aktivität für einen Benutzer, Computer oder eine IP-Adresse erhalten, der bzw. die die bestimmte Aktivität ausführen darf und dies häufig auch tut, führen Sie folgende Schritte aus:From the security alert: In the Activity timeline, when you receive an alert on an activity for a user, computer or IP address that is allowed to perform the particular activity, and may do so frequently, do the following:

    • Klicken Sie mit der rechten Maustaste auf die drei Punkte am Ende der Zeile für die Sicherheitswarnung auf dieser Entität, und wählen Sie Close and exclude (Schließen und ausschließen) aus.Right-click the three dots at the end of the row for the security alert on that entity and select Close and exclude. Dadurch wird der Benutzer, der Computer oder die IP-Adresse der Ausschlussliste für diese Sicherheitswarnung hinzugefügt.This adds the user, computer, or IP address to the exclusions list for that security alert. Die Sicherheitswarnung wird daraufhin geschlossen, und die Warnung wird nicht länger in der Ereignisliste auf der Warnungszeitachse unter Open (Offen) aufgeführt.It closes the security alert and the alert is no longer listed in the Open events list in the Alert timeline.

      Ausschließen einer Entität

  • Auf der Konfigurationsseite: Um Ausschlüsse zu überprüfen oder zu ändern, klicken Sie auf der Seite Konfiguration auf Ausschlüsse, und wählen Sie die Sicherheitswarnung aus, für die der Ausschluss angewendet werden soll, z.B. DNS-Reconnaissance.From the Configuration page: To review or modify any exclusions: under Configuration, click Exclusions and then select the security alert to apply the exclusion to, such as DNS reconnaissance.

    Konfiguration von Ausschlüssen

So fügen Sie eine Entität aus der Konfiguration Ausschlüsse hinzu: Geben Sie den Identitätsnamen ein, und klicken Sie auf das Pluszeichen. Klicken Sie anschließend am unteren Seitenrand auf Speichern.To add an entity from the Exclusions configuration: enter the entity name, then click the plus, and then click Save at the bottom of the page.

Um eine Entität aus der Konfiguration der Ausschlüsse zu entfernen, klicken Sie auf das Minuszeichen neben dem Namen der Entität, und klicken Sie dann unten auf der Seite auf Speichern.To remove an entity from the Exclusions configuration: click the minus next to the entity name, then click Save at the bottom of the page.

Es wird empfohlen, Ausschlüsse erst zu Erkennungen hinzuzufügen, nachdem Sie Warnungen des bestimmten Typs erhalten haben und entscheiden können, dass diese tatsächlich unbedenklich wahr positiv sind.It is recommended that you add exclusions to detections only after you get alerts of that specific type and determine that they are true benign positives.

Hinweis

Zu Ihrem Schutz bieten nicht alle Erkennungen die Möglichkeit, Ausschlüsse festzulegen.For your protection, not all detections provide the possibility to set exclusions.

Einige Erkennungen bieten Tipps, die Sie bei der Entscheidung unterstützen, was Sie ausschließen können.Some of the detections provide tips that help you decide what to exclude.

Jeder Ausschluss richtet sich nach dem Kontext. In einigen Kontexten können Sie Benutzer festlegen, in anderen Computer oder IP-Adressen.Each exclusion depends on the context, in some you can set users while for others you can set computers or IP addresses.

Wenn Sie die Möglichkeit haben, eine IP-Adresse oder einen Computer auszuschließen, können Sie eine der beiden Entitäten auswählen – Sie müssen nicht beide angeben.When you have the possibility of excluding an IP address or a computer, you can exclude one or the other - you don't need to provide both.

Hinweis

Die Seiten für die Konfiguration können nur von Azure ATP-Administratoren bearbeitet werden.Configuration pages can be modified by Azure ATP admins only.

Weitere Informationen:See Also