Configurare le esclusioni di rilevamento di Defender per identità in Microsoft Defender XDR

  • Articolo

Questo articolo illustra come configurare le esclusioni di rilevamento Microsoft Defender per identità in Microsoft Defender XDR.

Microsoft Defender per identità abilita l'esclusione di indirizzi IP, computer, domini o utenti specifici da diversi rilevamenti.

Ad esempio, un avviso di ricognizione DNS può essere attivato da uno scanner di sicurezza che usa DNS come meccanismo di analisi. La creazione di un'esclusione consente a Defender per identità di ignorare tali scanner e ridurre i falsi positivi.

Nota

È consigliabile ottimizzare un avviso anziché usare le esclusioni. Le regole di ottimizzazione degli avvisi consentono condizioni più granulari rispetto alle esclusioni e consentono di esaminare gli avvisi ottimizzati.

Nota

Tra i domini più comuni con comunicazioni sospette sugli avvisi DNS aperti, sono stati osservati i domini che i clienti più esclusi dall'avviso. Questi domini vengono aggiunti all'elenco di esclusioni per impostazione predefinita, ma è possibile rimuoverli facilmente.

Come aggiungere esclusioni di rilevamento

  1. In Microsoft Defender XDR passare a Impostazioni e quindi identità.

    Go to Settings, then Identities.

  2. Le entità escluse verranno quindi visualizzate nel menu a sinistra.

    Excluded entities.

    È quindi possibile impostare le esclusioni in base a due metodi: esclusioni in base alla regola di rilevamento e alle entità escluse globali.

Esclusioni in base alla regola di rilevamento

  1. Nel menu a sinistra selezionare Esclusioni per regola di rilevamento. Verrà visualizzato un elenco di regole di rilevamento.

    Exclusions by detection rule.

  2. Per ogni rilevamento che si vuole configurare, seguire questa procedura:

    1. Selezionare la regola. È possibile cercare rilevamenti usando la barra di ricerca. Una volta selezionato, verrà aperto un riquadro con i dettagli della regola di rilevamento.

      Detection rule details.

    2. Per aggiungere un'esclusione, selezionare il pulsante Entità escluse e quindi scegliere il tipo di esclusione. Per ogni regola sono disponibili entità escluse diverse. Includono utenti, dispositivi, domini e indirizzi IP. In questo esempio, le scelte sono Escludi dispositivi ed Escludi indirizzi IP.

      Exclude devices or IP addresses.

    3. Dopo aver scelto il tipo di esclusione, è possibile aggiungere l'esclusione. Nel riquadro visualizzato selezionare il + pulsante per aggiungere l'esclusione.

      Add an exclusion.

    4. Aggiungere quindi l'entità da escludere. Selezionare + Aggiungi per aggiungere l'entità all'elenco.

      Add an entity to be excluded.

    5. Selezionare quindi Escludi indirizzi IP (in questo esempio) per completare l'esclusione.

      Exclude IP addresses.

    6. Dopo aver aggiunto le esclusioni, è possibile esportare l'elenco o rimuovere le esclusioni restituendo al pulsante Entità escluse. In questo esempio è stato restituito Exclude devices (Escludi dispositivi). Per esportare l'elenco, selezionare il pulsante freccia giù.

      Return to Exclude devices.

    7. Per eliminare un'esclusione, selezionare l'esclusione e selezionare l'icona del cestino.

      Delete an exclusion.

Entità escluse globali

È ora possibile configurare anche le esclusioni dalle entità escluse globali. Le esclusioni globali consentono di definire determinate entità (indirizzi IP, subnet, dispositivi o domini) da escludere in tutti i rilevamenti di Defender per identità. Ad esempio, se si esclude un dispositivo, verrà applicato solo a tali rilevamenti che hanno l'identificazione del dispositivo come parte del rilevamento.

  1. Nel menu a sinistra selezionare Entità escluse globali. Verranno visualizzate le categorie di entità che è possibile escludere.

    Global excluded entities.

  2. Scegliere un tipo di esclusione. In questo esempio è stata selezionata l'opzione Escludi domini.

    Exclude domains.

  3. Verrà aperto un riquadro in cui è possibile aggiungere un dominio da escludere. Aggiungere il dominio da escludere.

    Add a domain to be excluded.

  4. Il dominio verrà aggiunto all'elenco. Selezionare Escludi domini per completare l'esclusione.

    Select exclude domains.

  5. Il dominio verrà quindi visualizzato nell'elenco delle entità da escludere da tutte le regole di rilevamento. È possibile esportare l'elenco o rimuovere le entità scegliendole e selezionando il pulsante Rimuovi .

    List of global excluded entries.

Passaggi successivi