Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como configurar exclusões de deteção de Microsoft Defender para Identidade no Microsoft Defender XDR.
Microsoft Defender para Identidade permite a exclusão de endereços IP, computadores, domínios ou utilizadores específicos de várias deteções.
Por exemplo, um alerta de Reconhecimento DNS pode ser acionado por um detetor de segurança que utiliza o DNS como um mecanismo de análise. A criação de uma exclusão ajuda Microsoft Defender para Identidade ignorar esses scanners e reduzir os falsos positivos.
Observação
Recomendamos que ajuste um alerta em vez de utilizar exclusões. As regras de otimização de alertas permitem condições mais granulares do que as exclusões e permitem-lhe rever os alertas, que foram otimizados.
Entre os domínios mais comuns com Comunicação suspeita através de alertas DNS, observámos os domínios que foram mais frequentemente excluídos do alerta. Estes domínios são adicionados à lista de exclusões por predefinição, mas tem a opção de removê-los.
Como adicionar exclusões de deteção
Observação
Ao substituir uma exclusão existente por uma regra de otimização de alertas, identifique a deteção associada à entidade excluída e mapeie-a para o detetor correspondente na otimização de alertas. Depois de criar a regra de otimização, verifique se o detetor aparece em Otimização de alertas no portal do Microsoft Defender para garantir que o âmbito de alerta pretendido é preservado.
Iniciar sessão no portal do Microsoft Defender
Aceda aDefinições doSistema> e, em seguida, Identidades.
Selecione Entidades excluídas. Pode definir exclusões através de dois métodos: Exclusões por regra de deteção e Entidades excluídas globais.
Exclusões por regra de deteção
Selecione Exclusões por regra de deteção.
Para cada deteção que pretende configurar, siga os seguintes passos:
Selecione uma regra de deteção na lista.
Veja os detalhes da regra de deteção.
Para adicionar uma exclusão, selecione o botão Entidades excluídas .
Escolha o tipo de exclusão. Estão disponíveis diferentes entidades excluídas para cada regra. Incluem utilizadores, dispositivos, domínios e endereços IP. Neste exemplo, as opções são Excluir dispositivos e Excluir endereços IP.
Depois de escolher o tipo de exclusão, selecione o + botão para adicionar a exclusão.
Selecione + Adicionar para adicionar a entidade excluída à lista.
Selecione Excluir endereços IP (neste exemplo) para concluir a exclusão.
Depois de adicionar exclusões, pode exportar a lista ou remover as exclusões ao regressar ao botão Entidades excluídas . Neste exemplo, voltamos a Excluir dispositivos. Para exportar a lista, selecione o botão de seta para baixo.
Para eliminar uma exclusão, selecione a exclusão e selecione o ícone de lixo.
Entidades global excluídas
Agora também pode configurar exclusões por Entidades excluídas globais. As exclusões globais permitem-lhe definir determinadas entidades (endereços IP, sub-redes, dispositivos ou domínios) para serem excluídas em todas as deteções Microsoft Defender para Identidade tem. Por exemplo, se excluir um dispositivo, este só será aplicado às deteções que têm a identificação do dispositivo como parte da deteção.
Selecione Entidades excluídas globais para ver as categorias de entidades que pode excluir.
Escolha um tipo de exclusão. Neste exemplo, selecionámos Excluir domínios.
É aberto um painel onde pode adicionar um domínio a ser excluído. Adicione o domínio que pretende excluir.
O domínio é adicionado à lista. Selecione Excluir domínios para concluir a exclusão.
Em seguida, verá o domínio na lista de entidades a excluir de todas as regras de deteção. Pode exportar a lista ou remover as entidades ao selecioná-las e selecionar o botão Remover .
