Configuración de exclusiones de detección de Defender for Identity en Microsoft Defender XDR

En este artículo se explica cómo configurar exclusiones de detección de Microsoft Defender for Identity en Microsoft Defender XDR.

Microsoft Defender for Identity permite excluir direcciones IP, equipos, dominios o usuarios específicos de varias detecciones.

Por ejemplo, un analizador de seguridad que usa DNS como mecanismo de examen podría desencadenar una alerta de reconocimiento de DNS . La creación de una exclusión ayuda a Microsoft Defender for Identity ignorar estos escáneres y a reducir los falsos positivos.

Nota:

  • Se recomienda optimizar una alerta en lugar de usar exclusiones. Las reglas de optimización de alertas permiten condiciones más granulares que las exclusiones y permiten revisar las alertas que se optimizaron.

  • Entre los dominios más comunes con comunicación sospechosa a través de alertas DNS, observamos los dominios que se excluyeron con más frecuencia de la alerta. Estos dominios se agregan a la lista de exclusiones de forma predeterminada, pero tiene la opción de quitarlos.

Cómo agregar exclusiones de detección

Nota:

Al reemplazar una exclusión existente por una regla de optimización de alertas, identifique la detección asociada a la entidad excluida y asígnela al detector correspondiente en el ajuste de alertas. Después de crear la regla de optimización, compruebe que el detector aparece en Optimización de alertas en el portal de Microsoft Defender para asegurarse de que se conserva el ámbito de alerta previsto.

  1. Inicio de sesión en el portal de Microsoft Defender

  2. Vaya aConfiguración delsistema> y, a continuación, Identidades.

    Captura de pantalla que muestra la página de configuración de identidades en el portal de Microsoft Defender.

  3. Seleccione Entidades excluidas. Puede establecer exclusiones mediante dos métodos: Exclusiones por regla de detección y Entidades excluidas globales.

    Captura de pantalla de la lista de entidades excluidas.

Exclusiones por regla de detección

  1. Seleccione Exclusiones por regla de detección.

    Captura de pantalla de la opción exclusiones por regla de detección.

  2. Para cada detección que quiera configurar, siga estos pasos:

    1. Seleccione una regla de detección de la lista.

    2. Vea los detalles de la regla de detección.

      Captura de pantalla de los detalles de la regla de detección.

    3. Para agregar una exclusión, seleccione el botón Entidades excluidas .

    4. Elija el tipo de exclusión. Hay diferentes entidades excluidas disponibles para cada regla. Incluyen usuarios, dispositivos, dominios y direcciones IP. En este ejemplo, las opciones son Excluir dispositivos y Excluir direcciones IP.

      Captura de pantalla que muestra las opciones para excluir dispositivos o direcciones IP.

    5. Después de elegir el tipo de exclusión, seleccione el + botón para agregar la exclusión.

      Captura de pantalla del botón Agregar exclusión.

    6. Seleccione + Agregar para agregar la entidad excluida a la lista.

      Captura de pantalla que muestra cómo agregar una entidad que se va a excluir.

    7. Seleccione Excluir direcciones IP (en este ejemplo) para completar la exclusión.

      Captura de pantalla que muestra la exclusión de direcciones IP.

    8. Una vez que haya agregado exclusiones, puede exportar la lista o quitar las exclusiones volviendo al botón Entidades excluidas . En este ejemplo, hemos vuelto a Excluir dispositivos. Para exportar la lista, seleccione el botón de flecha abajo.

      Captura de pantalla que muestra cómo volver a excluir dispositivos.

    9. Para eliminar una exclusión, seleccione la exclusión y seleccione el icono de papelera.

      Captura de pantalla que muestra cómo eliminar una exclusión.

Entidades excluidas globalmente

Ahora también puede configurar exclusiones por entidades excluidas globalmente. Las exclusiones globales permiten definir determinadas entidades (direcciones IP, subredes, dispositivos o dominios) que se excluirán en todas las detecciones que Microsoft Defender for Identity tiene. Por ejemplo, si excluye un dispositivo, solo se aplicará a las detecciones que tengan la identificación del dispositivo como parte de la detección.

  1. Seleccione Entidades excluidas globales para ver las categorías de entidades que puede excluir.

    Captura de pantalla que muestra las entidades excluidas globalmente.

  2. Elija un tipo de exclusión. En este ejemplo, seleccionamos Excluir dominios.

    Captura de pantalla que muestra la opción para excluir dominios.

  3. Se abre un panel donde puede agregar un dominio que se va a excluir. Agregue el dominio que desea excluir.

    Captura de pantalla que muestra cómo agregar un dominio que se va a excluir.

  4. El dominio se agrega a la lista. Seleccione Excluir dominios para completar la exclusión.

    Captura de pantalla que muestra cómo excluir dominios.

  5. A continuación, verá el dominio en la lista de entidades que se excluirán de todas las reglas de detección. Puede exportar la lista o quitar las entidades seleccionándolas y seleccionando el botón Quitar .

    Captura de pantalla que muestra la lista de entradas excluidas globales.

Pasos siguientes

  • Last updated on