Konfigurera undantag för Identitetsidentifiering i Defender Microsoft 365 Defender

Gäller för:

  • Microsoft 365 Defender
  • Defender för identitet

I den här artikeln förklaras hur du konfigurerar undantag för identitetsidentifiering i Microsoft Defender Microsoft 365 Defender.

Viktigt

Som en del av de Microsoft 365 Defender har vissa alternativ och information ändrats i Defender för identitetsportalen. Läs informationen nedan för att ta reda på var du hittar både de välbekanta och nya funktionerna.

Microsoft Defender for Identity möjliggör undantag från vissa IP-adresser, datorer, domäner eller användare från ett antal identifieringar.

Till exempel kan en DNS-reconnaissance-avisering utlösas av en säkerhetsskanner som använder DNS som en sökmekanism. Om du skapar ett undantag kan Defender för identitet ignorera sådana skannrar och minska antalet falska positiva identifieringar.

Anteckning

Av de vanligaste domänerna med misstänkt kommunikation över DNS-aviseringar som öppnats på dem har vi observerat de domäner som kunderna oftast uteslöt från aviseringen. Dessa domäner läggs till i undantagslistan som standard, men du kan enkelt ta bort dem.

Så här lägger du till undantag för identifiering

  1. I Microsoft 365 Defendergår du till Inställningar sedan Identiteter.

    Gå till Inställningar, sedan Identiteter.

  2. Sedan visas Uteslutna enheter i den vänstra menyn.

    Undantagna enheter.

Sedan kan du ange undantag med två metoder: Undantag genom identifieringsregel och globala uteslutna enheter.

Undantag genom identifieringsregel

  1. I den vänstra menyn väljer du Undantag genom identifieringsregel. En lista över identifieringsregler visas.

    Undantag genom identifieringsregel.

  2. Gör så här för varje identifiering du vill konfigurera:

    1. Markera regeln. Du kan söka efter identifieringar med hjälp av sökfältet. När du valt öppnas ett fönster med information om identifieringsregeln.

      Information om identifieringsregel.

    2. Om du vill lägga till ett undantag väljer du knappen Uteslutna enheter och väljer sedan undantagstyp. Olika undantagna enheter är tillgängliga för varje regel. De omfattar användare, enheter, domäner och IP-adresser. I det här exemplet är alternativen Exkludera enheter och Exkludera IP-adresser.

      Utesluta enheter eller IP-adresser.

    3. När du har valt en undantagstyp kan du lägga till undantaget. I fönstret som öppnas väljer du knappen för + att lägga till undantaget.

      Lägg till ett undantag.

    4. Lägg sedan till entiteten som ska undantas. Välj + Lägg till för att lägga till entiteten i listan.

      Lägg till en enhet som ska undantas.

    5. Välj sedan Exkludera IP-adresser (i det här exemplet) för att slutföra undantaget.

      Utesluta IP-adresser.

    6. När du har lagt till undantag kan du exportera listan eller ta bort undantagen genom att gå tillbaka till knappen Undantagna enheter. I det här exemplet har vi återgått till Exkludera enheter. Välj nedåtpilen om du vill exportera listan.

      Återgå till Exkludera enheter.

    7. Om du vill ta bort ett undantag väljer du undantaget och sedan papperskorgsikonen.

      Ta bort ett undantag.

Globala undantagna enheter

Du kan nu även konfigurera undantag från globala uteslutna enheter. Med globala undantag kan du definiera vissa enheter (IP-adresser, undernät, enheter eller domäner) som ska undantas vid alla identifieringar som Defender för identitet har. Om du exempelvis utesluter en enhet gäller den endast de identifieringar som har enhets-ID som del av identifieringen.

  1. I den vänstra menyn väljer du Globala uteslutna enheter. Du ser kategorierna för enheter som du kan utesluta.

    Globala uteslutna enheter.

  2. Välj en undantagstyp. I det här exemplet valde vi Exkludera domäner.

    Exkludera domäner.

  3. Ett fönster öppnas där du kan lägga till en domän som ska undantas. Lägg till den domän som du vill utesluta.

    Lägg till en domän som ska undantas.

  4. Domänen läggs till i listan. Välj Exkludera domäner för att slutföra undantaget.

    Välj exkludera domäner.

  5. Domänen visas sedan i listan över enheter som ska undantas från alla identifieringsregler. Du kan exportera listan eller ta bort enheter genom att markera dem och klicka på knappen Ta bort.

    Lista över globala undantagna poster.

Se även