Konfigurieren von Defender for Identity-Erkennungsausschlüssen in Microsoft Defender XDR

In diesem Artikel wird erläutert, wie Sie Microsoft Defender for Identity Erkennungsausschlüsse in Microsoft Defender XDR konfigurieren.

Microsoft Defender for Identity ermöglicht den Ausschluss bestimmter IP-Adressen, Computer, Domänen oder Benutzer von einer Reihe von Erkennungen.

Beispielsweise könnte eine DNS-Reconnaissance-Warnung von einem Sicherheitsscanner ausgelöst werden, der DNS als Scanmechanismus verwendet. Das Erstellen eines Ausschlusses hilft Microsoft Defender for Identity solche Scanner zu ignorieren und falsch positive Ergebnisse zu reduzieren.

Hinweis

  • Es wird empfohlen, eine Warnung zu optimieren , anstatt Ausschlüsse zu verwenden. Warnungsoptimierungsregeln ermöglichen präzisere Bedingungen als Ausschlüsse und ermöglichen es Ihnen, die Warnungen zu überprüfen, die optimiert wurden.

  • Unter den häufigsten Domänen mit Verdächtiger Kommunikation über DNS-Warnungen haben wir die Domänen beobachtet, die am häufigsten von der Warnung ausgeschlossen wurden. Diese Domänen werden standardmäßig der Ausschlussliste hinzugefügt, aber Sie haben die Möglichkeit, sie zu entfernen.

Hinzufügen von Erkennungsausschlüssen

Hinweis

Wenn Sie einen vorhandenen Ausschluss durch eine Warnungsoptimierungsregel ersetzen, identifizieren Sie die Erkennung, die der ausgeschlossenen Entität zugeordnet ist, und ordnen Sie sie der entsprechenden Erkennung bei der Warnungsoptimierung zu. Stellen Sie nach dem Erstellen der Optimierungsregel sicher, dass die Erkennung im Microsoft Defender Portal unter Warnungsoptimierung angezeigt wird, um sicherzustellen, dass der beabsichtigte Warnungsbereich beibehalten wird.

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Wechseln Sie zu Systemeinstellungen> und dann zu Identitäten.

    Screenshot: Seite

  3. Wählen Sie Ausgeschlossene Entitäten aus. Sie können Ausschlüsse mit zwei Methoden festlegen: Ausschlüsse nach Erkennungsregel und Globale ausgeschlossene Entitäten.

    Screenshot der Liste der ausgeschlossenen Entitäten.

Ausschlüsse nach Erkennungsregel

  1. Wählen Sie Ausschlüsse nach Erkennungsregel aus.

    Screenshot der Option

  2. Führen Sie für jede Erkennung, die Sie konfigurieren möchten, die folgenden Schritte aus:

    1. Wählen Sie eine Erkennungsregel aus der Liste aus.

    2. Zeigen Sie die Details der Erkennungsregel an.

      Screenshot der Details der Erkennungsregel.

    3. Um einen Ausschluss hinzuzufügen, wählen Sie die Schaltfläche Ausgeschlossene Entitäten aus.

    4. Wählen Sie den Ausschlusstyp aus. Für jede Regel sind verschiedene ausgeschlossene Entitäten verfügbar. Dazu gehören Benutzer, Geräte, Domänen und IP-Adressen. In diesem Beispiel sind die Optionen Geräte ausschließen und IP-Adressen ausschließen.

      Screenshot: Optionen zum Ausschließen von Geräten oder IP-Adressen

    5. Nachdem Sie den Ausschlusstyp ausgewählt haben, wählen Sie die + Schaltfläche aus, um den Ausschluss hinzuzufügen.

      Screenshot der Schaltfläche

    6. Wählen Sie + Hinzufügen aus, um die ausgeschlossene Entität zur Liste hinzuzufügen.

      Screenshot: Hinzufügen einer auszuschließenden Entität

    7. Wählen Sie IP-Adressen ausschließen (in diesem Beispiel) aus, um den Ausschluss abzuschließen.

      Screenshot: Ausschluss von IP-Adressen

    8. Nachdem Sie Ausschlüsse hinzugefügt haben, können Sie die Liste exportieren oder die Ausschlüsse entfernen, indem Sie zur Schaltfläche Ausgeschlossene Entitäten zurückkehren. In diesem Beispiel haben wir zu Geräte ausschließen zurückgegeben. Um die Liste zu exportieren, wählen Sie die Nach-unten-Schaltfläche aus.

      Screenshot: Rückkehr zum Ausschließen von Geräten

    9. Um einen Ausschluss zu löschen, wählen Sie den Ausschluss und dann das Papierkorbsymbol aus.

      Screenshot: Löschen eines Ausschlusses

Globale ausgeschlossene Entitäten

Sie können jetzt auch Ausschlüsse nach global ausgeschlossenen Entitäten konfigurieren. Mit globalen Ausschlüssen können Sie bestimmte Entitäten (IP-Adressen, Subnetze, Geräte oder Domänen) definieren, die für alle Erkennungen Microsoft Defender for Identity ausgeschlossen werden sollen. Wenn Sie also z. B. ein Gerät ausschließen, gilt es nur für erkennungen, die die Geräteidentifikation als Teil der Erkennung aufweisen.

  1. Wählen Sie Global ausgeschlossene Entitäten aus, um die Kategorien von Entitäten anzuzeigen, die Sie ausschließen können.

    Screenshot: Globale ausgeschlossene Entitäten

  2. Wählen Sie einen Ausschlusstyp aus. In diesem Beispiel haben wir Domänen ausschließen ausgewählt.

    Screenshot: Option zum Ausschließen von Domänen

  3. Es wird ein Bereich geöffnet, in dem Sie eine Auszuschließende Domäne hinzufügen können. Fügen Sie die Domäne hinzu, die Sie ausschließen möchten.

    Screenshot: Hinzufügen einer auszuschließenden Domäne

  4. Die Domäne wird der Liste hinzugefügt. Wählen Sie Domänen ausschließen aus, um den Ausschluss abzuschließen.

    Screenshot: Ausschließen von Domänen

  5. Anschließend wird die Domäne in der Liste der Entitäten angezeigt, die von allen Erkennungsregeln ausgeschlossen werden sollen. Sie können die Liste exportieren oder die Entitäten entfernen, indem Sie sie auswählen und die Schaltfläche Entfernen auswählen.

    Screenshot: Liste der globalen ausgeschlossenen Einträge

Nächste Schritte

  • Last updated on