Configurare le esclusioni di rilevamento di Defender per identità in Microsoft Defender XDR

Questo articolo illustra come configurare le esclusioni di rilevamento Microsoft Defender per identità in Microsoft Defender XDR.

Microsoft Defender per identità consente l'esclusione di indirizzi IP, computer, domini o utenti specifici da diversi rilevamenti.

Ad esempio, un avviso di ricognizione DNS potrebbe essere attivato da uno scanner di sicurezza che usa DNS come meccanismo di analisi. La creazione di un'esclusione consente Microsoft Defender per identità ignorare tali scanner e ridurre i falsi positivi.

Nota

  • È consigliabile ottimizzare un avviso anziché usare esclusioni. Le regole di ottimizzazione degli avvisi consentono condizioni più granulari rispetto alle esclusioni e consentono di esaminare gli avvisi, ottimizzati.

  • Tra i domini più comuni con comunicazioni sospette tramite avvisi DNS , sono stati osservati i domini esclusi più di frequente dall'avviso. Questi domini vengono aggiunti all'elenco delle esclusioni per impostazione predefinita, ma è possibile rimuoverli.

Come aggiungere esclusioni di rilevamento

Nota

Quando si sostituisce un'esclusione esistente con una regola di ottimizzazione degli avvisi, identificare il rilevamento associato all'entità esclusa e eseguirne il mapping al rilevatore corrispondente nell'ottimizzazione degli avvisi. Dopo aver creato la regola di ottimizzazione, verificare che il rilevatore venga visualizzato in Ottimizzazione avvisi nel portale di Microsoft Defender per assicurarsi che l'ambito di avviso previsto venga mantenuto.

  1. Accedere al portale di Microsoft Defender

  2. Passare aImpostazionidi sistema> e quindi Identità.

    Screenshot che mostra la pagina delle impostazioni delle identità nel portale di Microsoft Defender.

  3. Selezionare Entità escluse. È possibile impostare esclusioni usando due metodi: esclusioni per regola di rilevamento ed entità escluse globali.

    Screenshot dell'elenco di entità escluse.

Esclusioni per regola di rilevamento

  1. Selezionare Esclusioni in base alla regola di rilevamento.

    Screenshot dell'opzione esclusioni per regola di rilevamento.

  2. Per ogni rilevamento che si vuole configurare, seguire questa procedura:

    1. Selezionare una regola di rilevamento dall'elenco.

    2. Visualizzare i dettagli della regola di rilevamento.

      Screenshot dei dettagli della regola di rilevamento.

    3. Per aggiungere un'esclusione, selezionare il pulsante Entità escluse .

    4. Scegliere il tipo di esclusione. Per ogni regola sono disponibili entità escluse diverse. Includono utenti, dispositivi, domini e indirizzi IP. In questo esempio le scelte sono Escludi dispositivi ed Escludi indirizzi IP.

      Screenshot che mostra le opzioni per escludere dispositivi o indirizzi IP.

    5. Dopo aver scelto il tipo di esclusione, selezionare il + pulsante per aggiungere l'esclusione.

      Screenshot del pulsante Aggiungi esclusione.

    6. Selezionare + Aggiungi per aggiungere l'entità esclusa all'elenco.

      Screenshot che mostra come aggiungere un'entità da escludere.

    7. Selezionare Escludi indirizzi IP (in questo esempio) per completare l'esclusione.

      Screenshot che mostra l'esclusione degli indirizzi IP.

    8. Dopo aver aggiunto le esclusioni, è possibile esportare l'elenco o rimuovere le esclusioni tornando al pulsante Entità escluse . In questo esempio è stato restituito l'opzione Escludi dispositivi. Per esportare l'elenco, selezionare il pulsante freccia giù.

      Screenshot che mostra come tornare per escludere i dispositivi.

    9. Per eliminare un'esclusione, selezionare l'esclusione e selezionare l'icona del cestino.

      Screenshot che mostra come eliminare un'esclusione.

Entità escluse globali

È ora anche possibile configurare le esclusioni dalle entità escluse globali. Le esclusioni globali consentono di definire determinate entità (indirizzi IP, subnet, dispositivi o domini) da escludere in tutti i rilevamenti Microsoft Defender per identità. Ad esempio, se si esclude un dispositivo, questo si applicherà solo ai rilevamenti con identificazione del dispositivo come parte del rilevamento.

  1. Selezionare Entità escluse globali per visualizzare le categorie di entità che è possibile escludere.

    Screenshot che mostra le entità escluse globali.

  2. Scegliere un tipo di esclusione. In questo esempio è stato selezionato Escludi domini.

    Screenshot che mostra l'opzione per escludere i domini.

  3. Viene aperto un riquadro in cui è possibile aggiungere un dominio da escludere. Aggiungere il dominio da escludere.

    Screenshot che mostra come aggiungere un dominio da escludere.

  4. Il dominio viene aggiunto all'elenco. Selezionare Escludi domini per completare l'esclusione.

    Screenshot che mostra come escludere i domini.

  5. Il dominio verrà quindi visualizzato nell'elenco delle entità da escludere da tutte le regole di rilevamento. È possibile esportare l'elenco o rimuovere le entità scegliendole e selezionando il pulsante Rimuovi .

    Screenshot che mostra l'elenco delle voci escluse globali.

Passaggi successivi

  • Last updated on