A Defender identitásfelismerési kivételének konfigurálása a Microsoft 365 Defender
A következőre vonatkozik:
- Microsoft 365 Defender
- Defender az identitásért
Ebből a cikkből megtudhatja, hogyan konfigurálhatja a Microsoft Defender identitásfelismerési kivételeket a Microsoft 365 Defender.
Fontos
Az ügyfél és az ügyfél közötti Microsoft 365 Defender néhány beállítás és részlet megváltozott az identitást védő portálon található helytől. Kérjük, olvassa el az alábbi részleteket, és fedezze fel, hogy hol találja a megszokott és az új funkciókat.
Microsoft Defender identitásért lehetővé teszi adott IP-címek, számítógépek, tartományok vagy felhasználók számos észlelésből való kizárását.
A DNS-felderítést például egy, a DNS ellenőrzési mechanizmusát használó biztonsági szkenner kiválthatja. Kivétel létrehozásával segít a Defender identitást figyelmen kívül hagyni az ilyen képolvasóknak, és csökkenteni a hamis pozitív értékeket.
Megjegyzés
A leggyakrabban használt DNS-riasztásokkal kapcsolatos gyanús kommunikációt lehetővé t vevő tartományok között azokat a tartományokat figyeltünk meg, amelyekből az ügyfelek a leginkább ki vannak zárva. Ezek a tartományok alapértelmezés szerint felkerülnek a kivételek listájára, de egyszerűen eltávolíthatja őket.
Az észlelési kivételek hozzáadása
A Microsoft 365 Defender válassza a Gépház majd az Identitások ot.
Ezután a bal oldali menüben megjelenik a Kizárva entitások parancs.
Ezután kétféle módon állíthat be kivételeket: Kizárások észlelési szabály és Globális kizárt entitások.
Kivételek észlelési szabály alapján
A bal oldali menüben válassza a Kivételek észlelési szabály alapján lehetőséget. Megjelenik az észlelési szabályok listája.
Minden konfigurálni kívánt észlelésnél kövesse az alábbi lépéseket:
Jelölje ki a szabályt. Az észleléseket a keresősávval keresheti meg. Miután kijelölte, megnyílik egy ablaktábla az észlelési szabály részleteivel.
Kivétel hozzáadásához válassza a Kizárva entitások gombot, majd a kivétel típusát. Az egyes szabályokhoz különböző kizárható entitások érhetők el. Ezek közé tartoznak a felhasználók, az eszközök, a tartományok és az IP-címek. Ebben a példában a következő lehetőségek közül választhat: Eszközök kizárása és IP-címek kizárása.
A kivételtípus kiválasztása után felveheti a kivételt. A megnyíló ablaktáblában a kivétel + hozzáadásához válassza a gombot.
Ezután adja hozzá a kizárni szeretne entitást. A + Add (+ Hozzáadás ) gombra választva vegye fel az entitást a listába.
Ezután válassza az IP-címek kizárása (ebben a példában) lehetőséget a kivétel befejezéséhez.
A kivételek hozzáadása után exportálhatja a listát, vagy eltávolíthatja őket a Kizárva entitások gombra való visszatéréssel . Ebben a példában a Következőt mutatjuk be: Eszközök kizárása. A lista exportálásához válassza a lefelé mutató nyilat.
Kivétel törléséhez jelölje ki a kivételt, és válassza a kuka ikont.
Kizárt globális entitások
Most már globális kizáró entitások által is konfigurálhat kivételeket. A globális kizárások lehetővé teszik bizonyos entitások (IP-címek, alhálózatok, eszközök vagy tartományok) kizárását minden olyan észlelésben, amely a Defender for Identity eszközzel rendelkezik. Így ha például kizár egy eszközt, az csak azokra az észlelésre lesz érvényes, amelyek az észlelés részeként eszközazonosítást alkalmaznak.
A bal oldali menüben válassza a Global excluded entitások lehetőséget. Itt láthatja az entitások azon kategóriáit, amelyek kizárhatók.
Válasszon kivételtípust. Ebben a példában a Tartományok kizárása lehetőséget választottuk.
Megnyílik egy ablaktábla, ahol felveheti a kizárni szeretne egy tartományt. Adja hozzá a kizárni kívánt tartományt.
A tartomány hozzá lesz adva a listához. Válassza a Tartományok kizárása lehetőséget a kivétel befejezéséhez.
Ezután látni fogja a tartományt az entitások listájában, amelyből kizárva lesz az összes észlelési szabályból. A listát exportálhatja, illetve eltávolíthatja az entitásokat, ha kijelöli őket, és az Eltávolítás gombra kattint.
