この記事では、Microsoft Defender XDRでMicrosoft Defender for Identity検出除外を構成する方法について説明します。
Microsoft Defender for Identityでは、特定の IP アドレス、コンピューター、ドメイン、またはユーザーを多数の検出から除外できます。
たとえば、 DNS 偵察 アラートは、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーによってトリガーされる可能性があります。 除外を作成すると、そのようなスキャナー Microsoft Defender for Identity無視し、誤検知を減らすことができます。
注:
除外を使用するのではなく 、アラートを調整 することをお勧めします。 アラート チューニング ルールでは、除外よりも詳細な条件が許可され、調整されたアラートを確認できます。
DNS アラート経由の疑わしい通信を使用する最も一般的なドメインの中で、最も頻繁にアラートから除外されたドメインを確認しました。 これらのドメインは既定で除外リストに追加されますが、削除することもできます。
検出除外を追加する方法
注:
既存の除外をアラート チューニング ルールに置き換える場合は、除外されたエンティティに関連付けられている検出を特定し、アラートチューニングで対応する検出機能にマップします。 チューニング ルールを作成した後、Microsoft Defender ポータルの [アラートのチューニング] の下に検出機能が表示されていることを確認し、目的のアラート スコープが保持されていることを確認します。
Microsoft Defender ポータルにサインインする
[System>Settings]、[ID] の順に移動します。
![Microsoft Defender ポータルの [ID 設定] ページを示すスクリーンショット。](media/detect-exclusions/settings-identities.png)
[ 除外されたエンティティ] を選択します。 除外は、 検出ルールによる除外 と グローバル除外エンティティの 2 つの方法を使用して設定できます。
検出ルールによる除外
[ 検出ルールによる除外] を選択します。
構成する検出ごとに、次の手順を実行します。
一覧から検出ルールを選択します。
検出ルールの詳細を表示します。
除外を追加するには、[ 除外されたエンティティ ] ボタンを選択します。
除外の種類を選択します。 ルールごとに異なる除外エンティティを使用できます。 これには、ユーザー、デバイス、ドメイン、IP アドレスが含まれます。 この例では、[ デバイスの除外] と [ IP アドレスの除外] を選択します。
除外の種類を選択したら、[ + ] ボタンを選択して除外を追加します。
![[除外の追加] ボタンのスクリーンショット。](media/detect-exclusions/add-exclusion.png)
[ + 追加] を選択して、除外されたエンティティを一覧に追加します。
除外を完了するには、(この例では) [ IP アドレス の除外] を選択します。
除外を追加したら、[除外 されたエンティティ ] ボタンに戻ってリストをエクスポートするか、除外を削除できます。 この例では、[ デバイスの除外] に戻っています。 リストをエクスポートするには、下矢印ボタンを選択します。
除外を削除するには、除外を選択し、ごみ箱アイコンを選択します。
グローバル除外エンティティ
グローバル除外エンティティによる除外を構成できるようになりました。 グローバル除外を使用すると、特定のエンティティ (IP アドレス、サブネット、デバイス、またはドメイン) を定義して、Microsoft Defender for Identityのすべての検出で除外できます。 たとえば、デバイスを除外する場合は、検出の一部としてデバイス識別を持つ検出にのみ適用されます。
[ グローバル除外エンティティ ] を選択すると、除外できるエンティティのカテゴリが表示されます。
除外の種類を選択します。 この例では、[ドメインの 除外] を選択しました。
除外するドメインを追加できるウィンドウが開きます。 除外するドメインを追加します。
ドメインが一覧に追加されます。 除外を完了するには 、[ドメインの除外] を選択します。
その後、すべての検出ルールから除外するエンティティの一覧にドメインが表示されます。 リストをエクスポートするか、エンティティを選択して [削除] ボタンを選択してエンティティを 削除 できます。
