Konfigurera undantag för Identifiering av Defender för identiteter i Microsoft Defender XDR

  • Artikel

Den här artikeln beskriver hur du konfigurerar undantag för Microsoft Defender för identitetsidentifiering i Microsoft Defender XDR.

Med Microsoft Defender för identitet kan du undanta specifika IP-adresser, datorer, domäner eller användare från ett antal identifieringar.

En DNS-rekognoseringsavisering kan till exempel utlösas av en säkerhetsskanner som använder DNS som en genomsökningsmekanism. Genom att skapa ett undantag kan Defender for Identity ignorera sådana skannrar och minska falska positiva identifieringar.

Kommentar

Vi rekommenderar att du justerar en avisering i stället för att använda undantag. Regler för aviseringsjustering tillåter mer detaljerade villkor än undantag och gör att du kan granska aviseringarna som har justerats.

Kommentar

Av de vanligaste domänerna med misstänkt kommunikation via DNS-aviseringar som öppnats på dem observerade vi de domäner som kunderna mest exkluderade från aviseringen. Dessa domäner läggs som standard till i undantagslistan, men du kan enkelt ta bort dem.

Lägga till identifieringsundantag

  1. I Microsoft Defender XDR går du till Inställningar och sedan Identiteter.

    Go to Settings, then Identities.

  2. Sedan visas Exkluderade entiteter på den vänstra menyn.

    Excluded entities.

    Du kan sedan ange undantag med två metoder: Undantag efter identifieringsregel och Globala undantagna entiteter.

Undantag efter identifieringsregel

  1. I den vänstra menyn väljer du Undantag efter identifieringsregel. Du ser en lista över identifieringsregler.

    Exclusions by detection rule.

  2. Utför följande steg för varje identifiering som du vill konfigurera:

    1. Välj regeln. Du kan söka efter identifieringar med hjälp av sökfältet. När det är markerat öppnas ett fönster med information om identifieringsregeln.

      Detection rule details.

    2. Om du vill lägga till ett undantag väljer du knappen Exkluderade entiteter och väljer sedan undantagstypen. Olika exkluderade entiteter är tillgängliga för varje regel. De omfattar användare, enheter, domäner och IP-adresser. I det här exemplet är alternativen Exkludera enheter och Exkludera IP-adresser.

      Exclude devices or IP addresses.

    3. När du har valt undantagstyp kan du lägga till undantaget. I fönstret som öppnas väljer du + knappen för att lägga till undantaget.

      Add an exclusion.

    4. Lägg sedan till entiteten som ska undantas. Välj + Lägg till för att lägga till entiteten i listan.

      Add an entity to be excluded.

    5. Välj sedan Exkludera IP-adresser (i det här exemplet) för att slutföra undantaget.

      Exclude IP addresses.

    6. När du har lagt till undantag kan du exportera listan eller ta bort undantagen genom att återgå till knappen Exkluderade entiteter . I det här exemplet har vi återvänt till Exkludera enheter. Om du vill exportera listan väljer du nedpilen.

      Return to Exclude devices.

    7. Om du vill ta bort ett undantag väljer du undantaget och väljer papperskorgsikonen.

      Delete an exclusion.

Globala undantagna entiteter

Nu kan du även konfigurera undantag av globala undantagna entiteter. Med globala undantag kan du definiera vissa entiteter (IP-adresser, undernät, enheter eller domäner) som ska undantas för alla identifieringar som Defender för identitet har. Om du till exempel exkluderar en enhet gäller den bara för de identifieringar som har enhetsidentifiering som en del av identifieringen.

  1. I den vänstra menyn väljer du Globala undantagna entiteter. Du ser de kategorier av entiteter som du kan exkludera.

    Global excluded entities.

  2. Välj en exkluderingstyp. I det här exemplet har vi valt Exkludera domäner.

    Exclude domains.

  3. Ett fönster öppnas där du kan lägga till en domän som ska undantas. Lägg till den domän som du vill exkludera.

    Add a domain to be excluded.

  4. Domänen läggs till i listan. Välj Exkludera domäner för att slutföra undantaget.

    Select exclude domains.

  5. Sedan visas domänen i listan över entiteter som ska undantas från alla identifieringsregler. Du kan exportera listan eller ta bort entiteterna genom att välja dem och välja knappen Ta bort .

    List of global excluded entries.

Nästa steg