Configurar o Defender para exclusões de deteção de identidade Microsoft 365 Defender
Aplica-se a:
- Microsoft 365 Defender
- Defender para Identidade
Este artigo explica como configurar o Microsoft Defender para exclusões de deteção de identidade em Microsoft 365 Defender.
Importante
Como parte da convergência com o Microsoft 365 Defender, algumas opções e detalhes mudaram a partir da respetiva localização no portal do Defender para Identidade. Leia os detalhes abaixo para descobrir onde pode encontrar as funcionalidades familiares e novas.
Microsoft Defender para Identidade ativa a exclusão de endereços IP, computadores, domínios ou utilizadores específicos de um número de deteções.
Por exemplo, um alerta de Reconstrução de DNS pode ser ativado por um scanner de segurança que utiliza DNS como um mecanismo de análise. A criação de uma exclusão ajuda o Defender para Identidade a ignorar esses scanners e a reduzir os falsos positivos.
Nota
Dos domínios mais comuns com Comunicação suspeita através de alertas DNS abertos nos respetivos domínios, observamos os domínios que os clientes mais excluíram do alerta. Estes domínios são adicionados à lista de exclusões por predefinição, mas tem a opção de os remover facilmente.
Como adicionar exclusões de deteção
Na Microsoft 365 Defender, vá para Definições em seguida, Identidades.
Em seguida, verá Entidades excluídas no menu do lado esquerdo.
Em seguida, pode definir exclusões através de dois métodos: Exclusões por regra de deteção e Entidades excluídas globais.
Exclusões por regra de deteção
No menu do lado esquerdo, selecione Exclusões por regra de deteção. Verá uma lista das regras de deteção.
Para cada deteção que pretende configurar, efetue os seguintes passos:
Selecione a regra. Pode procurar deteções através da barra de pesquisa. Uma vez selecionado, será aberto um painel com os detalhes da regra de deteção.
Para adicionar uma exclusão, selecione o botão Entidades excluídas e , em seguida, selecione o tipo de exclusão. Estão disponíveis diferentes entidades excluídas para cada regra. Incluem utilizadores, dispositivos, domínios e endereços IP. Neste exemplo, as opções são Excluir dispositivos e Excluir endereços IP.
Após escolher o tipo de exclusão, pode adicionar a exclusão. No painel que é aberto, selecione o botão para + adicionar a exclusão.
Em seguida, adicione a entidade a ser excluída. Selecione + Adicionar para adicionar a entidade à lista.
Em seguida, selecione Excluir endereços IP (neste exemplo) para concluir a exclusão.
Assim que adicionar as exclusões, pode exportar a lista ou remover as exclusões ao regressar ao botão Entidades excluídas . Neste exemplo, regressámos a Excluir dispositivos. Para exportar a lista, selecione o botão de seta para baixo.
Para eliminar uma exclusão, selecione a exclusão e selecione o ícone do lixo.
Entidades globais excluídas
Agora também pode configurar exclusões por entidades excluídas da Global. As exclusões globais permitem-lhe definir determinadas entidades (endereços IP, sub-redes, dispositivos ou domínios) a ser excluídas em todos os deteções que o Defender para Identidade tem. Por exemplo, se excluir um dispositivo, este só será aplicado às deteções que tenham identificação do dispositivo como parte da deteção.
No menu do lado esquerdo, selecione Entidades excluídas globais. Verá as categorias de entidades que pode excluir.
Selecionar um tipo de exclusão. Neste exemplo, selecionámos Excluir domínios.
Será aberto um painel onde pode adicionar um domínio a ser excluído. Adicione o domínio que pretende excluir.
O domínio será adicionado à lista. Selecione Excluir domínios para concluir a exclusão.
Em seguida, verá o domínio na lista de entidades a excluir de todas as regras de deteção. Pode exportar a lista ou remover as entidades ao selecioná-las e clicar no botão Remover.
