Configuración de exclusiones de detecciónConfigure detection exclusions

Microsoft Defender for IdentityMicrosoft Defender for Identity habilita la exclusión de direcciones IP, equipos o usuarios específicos de un número de detecciones.Microsoft Defender for IdentityMicrosoft Defender for Identity enables the exclusion of specific IP addresses, computers, or users from a number of detections.

Por ejemplo, una exclusión de Reconocimiento de DNS podría ser un escáner de seguridad que utiliza DNS como mecanismo de detección.For example, a DNS Reconnaissance exclusion could be a security scanner that uses DNS as a scanning mechanism. La exclusión ayuda a Defender for IdentityDefender for Identity omitir estos escáneres.The exclusion helps Defender for IdentityDefender for Identity ignore such scanners.

Cómo agregar exclusiones de detecciónHow to add detection exclusions

Hay dos maneras de excluir manualmente a los usuarios, equipos o direcciones IP para una detección.There are two ways you can manually exclude users, computers, or IP addresses for a detection. Puede hacerlo en la página configuración , en exclusiones o directamente desde la alerta de seguridad.You can either do so on the Configuration page under Exclusions, or directly from the security alert.

En la página ConfiguraciónFrom the Configuration page

Para configurar las exclusiones desde la página Configuración, haga lo siguiente:To configure exclusions from the configuration page, do the following:

  1. En el portal de Defender for IdentityDefender for Identity, seleccione Configuración.In the Defender for IdentityDefender for Identity portal, select Configuration.

    [! INCLUDE [Product Short] (incluye/Product-Short. MD)] opciones de configuración

  2. En detección, seleccione exclusiones.Under Detection, select Exclusions.

  3. Para cada detección que desee configurar, haga lo siguiente:For each detection that you want to configure, do the following:

    1. Escriba una dirección IP, un equipo o una cuenta de usuario que se va a excluir de la detección.Enter an IP address, computer, or user account to be excluded from the detection
    2. Haga clic en el icono de signo más (+).Click the plus icon (+).

    Sugerencia

    Se pueden realizar búsquedas en el campo usuario o equipo y se Autorrellenar con las entidades de la red.The user or computer field is searchable and will autofill with entities in your network. Para obtener más información, consulte la Guía de alertas de seguridad.For more information, see the security alert guide.

    Exclusión de entidades de detecciones

  4. Haga clic en Guardar.Click Save.

Desde una alerta de seguridadFrom a security alert

Para configurar las exclusiones de una alerta de seguridad, haga lo siguiente:To configure exclusions from a security alert, do the following:

  1. En el Defender for IdentityDefender for Identity portal, seleccione escala de tiempo.In the Defender for IdentityDefender for Identity portal, select Timeline.

  2. Identifique una alerta en una actividad para un usuario, equipo o dirección IP que tenga permiso para realizar la actividad en cuestión.Identify an alert on an activity for a user, computer, or IP address that is allowed to perform the particular activity.

  3. A la derecha de la alerta, seleccione más [...] > Cerrar y excluir.To the right of the alert, select More [...] > Close and exclude. La acción cierra la alerta y ya no aparece en la lista de eventos abiertos en la escala de tiempo de la alerta.The action closes the alert and it is no longer listed in the Open events list in the Alert timeline. La acción también agrega el usuario, el equipo o la dirección IP a la lista de exclusiones para esa alerta.The action also adds the user, computer, or IP address to the exclusions list for that alert.

    Excluir entidad

Defender for IdentityDefender for Identity el examen se inicia inmediatamente.Defender for IdentityDefender for Identity scanning starts immediately. Algunas detecciones, como las adiciones sospechosas a grupos confidenciales, requieren un período de aprendizaje y no están disponibles inmediatamente después de la Defender for IdentityDefender for Identity implementación.Some detections, such as Suspicious additions to sensitive groups, require a learning period and aren't available immediately after Defender for IdentityDefender for Identity deployment. El período de aprendizaje de cada alerta se muestra en la Guía de alertas de seguridaddetallada.The learning period for each alert is listed in the detailed security alert guide.

Consulte tambiénSee Also