Uitsluitingen voor Defender for Identity-detectie configureren in Microsoft Defender XDR

In dit artikel wordt uitgelegd hoe u uitsluitingen voor Microsoft Defender for Identity-detectie configureert in Microsoft Defender XDR.

Microsoft Defender for Identity maakt het mogelijk specifieke IP-adressen, computers, domeinen of gebruikers uit te sluiten van een aantal detecties.

Een DNS Reconnaissance-waarschuwing kan bijvoorbeeld worden geactiveerd door een beveiligingsscanner die GEBRUIKMAAKT van DNS als een scanmechanisme. Als u een uitsluiting maakt, kunt Microsoft Defender for Identity dergelijke scanners negeren en fout-positieven verminderen.

Opmerking

  • We raden u aan een waarschuwing af te stemmen in plaats van uitsluitingen te gebruiken. Regels voor het afstemmen van waarschuwingen staan gedetailleerdere voorwaarden toe dan uitsluitingen en stellen u in staat om de waarschuwingen te bekijken die zijn afgestemd.

  • Onder de meest voorkomende domeinen met verdachte communicatie via DNS-waarschuwingen hebben we de domeinen waargenomen die het vaakst werden uitgesloten van de waarschuwing. Deze domeinen worden standaard toegevoegd aan de lijst met uitsluitingen, maar u kunt ze verwijderen.

Detectieuitsluitingen toevoegen

Opmerking

Wanneer u een bestaande uitsluiting vervangt door een regel voor het afstemmen van waarschuwingen, identificeert u de detectie die is gekoppeld aan de uitgesloten entiteit en wijst u deze toe aan de bijbehorende detector bij het afstemmen van waarschuwingen. Nadat u de afstemmingsregel hebt gemaakt, controleert u of de detector wordt weergegeven onder Afstemming van waarschuwingen in de Microsoft Defender portal om ervoor te zorgen dat het beoogde waarschuwingsbereik behouden blijft.

  1. Aanmelden bij de Microsoft Defender-portal

  2. Ga naar Systeeminstellingen> en vervolgens Identiteiten.

    Schermopname van de pagina met identiteitsinstellingen in de Microsoft Defender portal.

  3. Selecteer Uitgesloten entiteiten. U kunt uitsluitingen instellen met behulp van twee methoden: Uitsluitingen op detectieregel en Globale uitgesloten entiteiten.

    Schermopname van de lijst met uitgesloten entiteiten.

Uitsluitingen op detectieregel

  1. Selecteer Uitsluitingen op detectieregel.

    Schermopname van de optie uitsluitingen door detectieregel.

  2. Voer de volgende stappen uit voor elke detectie die u wilt configureren:

    1. Selecteer een detectieregel in de lijst.

    2. Bekijk de details van de detectieregel.

      Schermopname van de details van de detectieregel.

    3. Als u een uitsluiting wilt toevoegen, selecteert u de knop Uitgesloten entiteiten .

    4. Kies het uitsluitingstype. Voor elke regel zijn verschillende uitgesloten entiteiten beschikbaar. Ze omvatten gebruikers, apparaten, domeinen en IP-adressen. In dit voorbeeld zijn de opties Apparaten uitsluiten en IP-adressen uitsluiten.

      Schermopname van de opties voor het uitsluiten van apparaten of IP-adressen.

    5. Nadat u het uitsluitingstype hebt gekozen, selecteert u de + knop om de uitsluiting toe te voegen.

      Schermopname van de knop Uitsluiting toevoegen.

    6. Selecteer + Toevoegen om de uitgesloten entiteit toe te voegen aan de lijst.

      Schermopname van het toevoegen van een entiteit die moet worden uitgesloten.

    7. Selecteer IP-adressen uitsluiten (in dit voorbeeld) om de uitsluiting te voltooien.

      Schermopname van de uitsluiting van IP-adressen.

    8. Zodra u uitsluitingen hebt toegevoegd, kunt u de lijst exporteren of de uitsluitingen verwijderen door terug te keren naar de knop Uitgesloten entiteiten . In dit voorbeeld zijn we teruggegaan naar Apparaten uitsluiten. Als u de lijst wilt exporteren, selecteert u de pijl-omlaag.

      Schermopname die laat zien hoe u terugkeert om apparaten uit te sluiten.

    9. Als u een uitsluiting wilt verwijderen, selecteert u de uitsluiting en selecteert u het prullenbakpictogram.

      Schermopname van het verwijderen van een uitsluiting.

Globale uitgesloten entiteiten

U kunt nu ook uitsluitingen configureren voor globale uitgesloten entiteiten. Met globale uitsluitingen kunt u bepaalde entiteiten (IP-adressen, subnetten, apparaten of domeinen) definiëren die moeten worden uitgesloten voor alle detecties die Microsoft Defender for Identity heeft. Als u bijvoorbeeld een apparaat uitsluit, is dit alleen van toepassing op detecties die apparaatidentificatie als onderdeel van de detectie hebben.

  1. Selecteer Globale uitgesloten entiteiten om de categorieën entiteiten weer te geven die u kunt uitsluiten.

    Schermopname van de globale uitgesloten entiteiten.

  2. Kies een uitsluitingstype. In dit voorbeeld hebben we domeinen uitsluiten geselecteerd.

    Schermopname van de optie om domeinen uit te sluiten.

  3. Er wordt een deelvenster geopend waarin u een domein kunt toevoegen dat moet worden uitgesloten. Voeg het domein toe dat u wilt uitsluiten.

    Schermopname van het toevoegen van een domein dat moet worden uitgesloten.

  4. Het domein wordt toegevoegd aan de lijst. Selecteer Domeinen uitsluiten om de uitsluiting te voltooien.

    Schermopname van het uitsluiten van domeinen.

  5. Vervolgens ziet u het domein in de lijst met entiteiten die moeten worden uitgesloten van alle detectieregels. U kunt de lijst exporteren of de entiteiten verwijderen door ze te kiezen en de knop Verwijderen te selecteren.

    Schermopname van de lijst met algemene uitgesloten vermeldingen.

Volgende stappen

  • Last updated on