Konfigurer defender for udeladelser fra identitetsregistrering i Microsoft Defender XDR

I denne artikel forklares det, hvordan du konfigurerer Microsoft Defender for Identity registreringsudeladelser i Microsoft Defender XDR.

Microsoft Defender for Identity gør det muligt at udelukke bestemte IP-adresser, computere, domæner eller brugere fra en række registreringer.

En DNS-rekognosceringsbesked kan f.eks. udløses af en sikkerhedsscanner, der bruger DNS som en scanningsmekanisme. Oprettelse af en udeladelse hjælper Microsoft Defender for Identity med at ignorere sådanne scannere og reducere falske positiver.

Bemærk!

  • Vi anbefaler, at du indstiller en besked i stedet for at bruge udeladelser. Regler for justering af beskeder tillader mere detaljerede betingelser end undtagelser og giver dig mulighed for at gennemse de beskeder, der blev justeret.

  • Blandt de mest almindelige domæner med mistænkelig kommunikation via DNS-beskeder observerede vi de domæner, der oftest blev udelukket fra beskeden. Disse domæner føjes som standard til listen over undtagelser, men du har mulighed for at fjerne dem.

Sådan tilføjer du registreringsudeladelser

Bemærk!

Når du erstatter en eksisterende udeladelse med en regel for justering af beskeder, skal du identificere den registrering, der er knyttet til den udeladte enhed, og knytte den til den tilsvarende detektor i beskedjustering. Når du har oprettet justeringsreglen, skal du kontrollere, at detektoren vises under Beskedjustering på Microsoft Defender-portalen for at sikre, at det ønskede beskedomfang bevares.

  1. Log på Microsoft Defender-portalen

  2. Gå til Systemindstillinger> og derefter Identiteter.

    Skærmbillede, der viser siden med indstillinger for identiteter på portalen Microsoft Defender.

  3. Vælg Udeladte enheder. Du kan angive udeladelser ved hjælp af to metoder: Udeladelser ved at registrere regler og Globale udeladte objekter.

    Skærmbillede af listen over udeladte enheder.

Udeladelser efter registreringsregel

  1. Vælg Udeladelser ved at registrere en regel.

    Skærmbillede af indstillingen for undtagelser ved registreringsregel.

  2. Benyt følgende fremgangsmåde for hver registrering, du vil konfigurere:

    1. Vælg en registreringsregel på listen.

    2. Få vist oplysninger om registreringsreglen.

      Skærmbillede af oplysninger om registreringsreglen.

    3. Hvis du vil tilføje en udeladelse, skal du vælge knappen Udeladte enheder .

    4. Vælg udeladelsestypen. Der er forskellige udeladte enheder tilgængelige for hver regel. De omfatter brugere, enheder, domæner og IP-adresser. I dette eksempel er valgmulighederne Udelad enheder og Udelad IP-adresser.

      Skærmbillede, der viser indstillingerne for udeladelse af enheder eller IP-adresser.

    5. Når du har valgt udeladelsestypen, skal du vælge knappen + for at tilføje udeladelse.

      Skærmbillede af knappen Tilføj udeladelse.

    6. Vælg + Tilføj for at føje det udeladte objekt til listen.

      Skærmbillede, der viser, hvordan du tilføjer et objekt, der skal udelades.

    7. Vælg Udelad IP-adresser (i dette eksempel) for at fuldføre udeladelse.

      Skærmbillede, der viser udeladelsen af IP-adresser.

    8. Når du har tilføjet udeladelser, kan du eksportere listen eller fjerne udeladelser ved at vende tilbage til knappen Udeladte enheder . I dette eksempel er vi vendt tilbage til Udelad enheder. Hvis du vil eksportere listen, skal du vælge pil ned-knappen.

      Skærmbillede, der viser, hvordan du vender tilbage for at udelade enheder.

    9. Hvis du vil slette en udeladelse, skal du vælge udeladelse og vælge papirkurvsikonet.

      Skærmbillede, der viser, hvordan du sletter en udeladelse.

Globale udeladte enheder

Du kan nu også konfigurere udeladelser efter globale udeladte objekter. Globale udeladelser giver dig mulighed for at definere bestemte enheder (IP-adresser, undernet, enheder eller domæner), der skal udelades på tværs af alle de registreringer, Microsoft Defender for Identity har. Så hvis du f.eks. udelukker en enhed, gælder den kun for de registreringer, der har enhedsidentifikation som en del af registreringen.

  1. Vælg Globale udeladte enheder for at se kategorierne af objekter, som du kan udelade.

    Skærmbillede, der viser de globale udeladte enheder.

  2. Vælg en udeladelsestype. I dette eksempel valgte vi Udelad domæner.

    Skærmbillede, der viser muligheden for at udelade domæner.

  3. Der åbnes en rude, hvor du kan tilføje et domæne, der skal udelades. Tilføj det domæne, du vil udelade.

    Skærmbillede, der viser, hvordan du tilføjer et domæne, der skal udelades.

  4. Domænet føjes til listen. Vælg Udelad domæner for at fuldføre udeladelse.

    Skærmbillede, der viser, hvordan domæner udelades.

  5. Derefter kan du se domænet på listen over enheder, der skal udelades fra alle registreringsregler. Du kan eksportere listen eller fjerne objekterne ved at vælge dem og vælge knappen Fjern .

    Skærmbillede, der viser listen over globale udeladte poster.

Næste trin

  • Last updated on