Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du konfigurerar Microsoft Defender for Identity identifieringsundantag i Microsoft Defender XDR.
Microsoft Defender for Identity gör det möjligt att undanta specifika IP-adresser, datorer, domäner eller användare från ett antal identifieringar.
En DNS-rekognoseringsavisering kan till exempel utlösas av en säkerhetsskanner som använder DNS som en genomsökningsmekanism. Genom att skapa ett undantag kan Microsoft Defender for Identity ignorera sådana skannrar och minska falska positiva identifieringar.
Obs!
Vi rekommenderar att du justerar en avisering i stället för att använda undantag. Regler för aviseringsjustering tillåter mer detaljerade villkor än undantag och gör att du kan granska aviseringarna som har finjusterats.
Bland de vanligaste domänerna med misstänkt kommunikation via DNS-aviseringar observerade vi de domäner som oftast exkluderades från aviseringen. Dessa domäner läggs som standard till i undantagslistan, men du har möjlighet att ta bort dem.
Lägga till identifieringsundantag
Obs!
När du ersätter ett befintligt undantag med en aviseringsjusteringsregel identifierar du identifieringen som är associerad med den exkluderade entiteten och mappar den till motsvarande detektor i aviseringsjusteringen. När du har skapat justeringsregeln kontrollerar du att detektorn visas under Aviseringsjustering i Microsoft Defender-portalen för att säkerställa att det avsedda aviseringsomfånget bevaras.
Logga in på Microsoft Defender-portalen
Gå till Systeminställningar> och sedan Identiteter.
Välj Exkluderade entiteter. Du kan ange undantag med två metoder: Undantag efter identifieringsregel och Globala undantagna entiteter.
Undantag efter identifieringsregel
Välj Undantag efter identifieringsregel.
Gör följande för varje identifiering som du vill konfigurera:
Välj en identifieringsregel i listan.
Visa information om identifieringsregeln.
Om du vill lägga till ett undantag väljer du knappen Exkluderade entiteter .
Välj undantagstyp. Olika exkluderade entiteter är tillgängliga för varje regel. De omfattar användare, enheter, domäner och IP-adresser. I det här exemplet är alternativen Exkludera enheter och Exkludera IP-adresser.
När du har valt undantagstyp väljer du + knappen för att lägga till undantaget.
Välj + Lägg till för att lägga till den exkluderade entiteten i listan.
Välj Exkludera IP-adresser (i det här exemplet) för att slutföra undantaget.
När du har lagt till undantag kan du exportera listan eller ta bort undantagen genom att gå tillbaka till knappen Exkluderade entiteter . I det här exemplet har vi återvänt till Exkludera enheter. Om du vill exportera listan väljer du nedåtpilen.
Om du vill ta bort ett undantag väljer du undantaget och väljer papperskorgsikonen.
Globala undantagna entiteter
Nu kan du även konfigurera undantag av globala undantagsentiteter. Med globala undantag kan du definiera vissa entiteter (IP-adresser, undernät, enheter eller domäner) som ska undantas för alla identifieringar som Microsoft Defender for Identity har. Om du till exempel exkluderar en enhet gäller den bara för de identifieringar som har enhetsidentifiering som en del av identifieringen.
Välj Globala exkluderade entiteter för att se de kategorier av entiteter som du kan exkludera.
Välj en exkluderingstyp. I det här exemplet har vi valt Exkludera domäner.
Ett fönster öppnas där du kan lägga till en domän som ska undantas. Lägg till den domän som du vill exkludera.
Domänen läggs till i listan. Välj Exkludera domäner för att slutföra undantaget.
Sedan visas domänen i listan över entiteter som ska undantas från alla identifieringsregler. Du kan exportera listan eller ta bort entiteterna genom att välja dem och välja knappen Ta bort .
