Configuración de exclusiones de detección de Defender for Identity en Microsoft Defender XDR
En este artículo se explica cómo configurar exclusiones de detección de Microsoft Defender for Identity en Microsoft Defender XDR.
Microsoft Defender for Identity permite excluir direcciones IP, equipos, dominios o usuarios específicos de varias detecciones.
Por ejemplo, un analizador de seguridad que usa DNS como mecanismo de examen podría desencadenar una alerta de reconocimiento de DNS . La creación de una exclusión ayuda a Defender for Identity a ignorar estos escáneres y a reducir los falsos positivos.
Nota:
Se recomienda optimizar una alerta en lugar de usar exclusiones. Las reglas de optimización de alertas permiten condiciones más granulares que las exclusiones y permiten revisar las alertas que se han optimizado.
Nota:
De los dominios más comunes con comunicación sospechosa a través de alertas DNS abiertas en ellos, hemos observado los dominios que los clientes más excluidos de la alerta. Estos dominios se agregan a la lista de exclusiones de forma predeterminada, pero tiene la opción de quitarlos fácilmente.
Cómo agregar exclusiones de detección
En Microsoft Defender XDR, vaya a Configuración y, a continuación, Identidades.
A continuación, verá Entidades excluidas en el menú de la izquierda.
A continuación, puede establecer exclusiones mediante dos métodos: Exclusiones por regla de detección y Entidades excluidas globales.
Exclusiones por regla de detección
En el menú izquierdo, seleccione Exclusiones por regla de detección. Verá una lista de reglas de detección.
Para cada detección que quiera configurar, siga estos pasos:
Seleccione la regla. Puede buscar detecciones mediante la barra de búsqueda. Una vez seleccionado, se abrirá un panel con los detalles de la regla de detección.
Para agregar una exclusión, seleccione el botón Entidades excluidas y, a continuación, elija el tipo de exclusión. Hay diferentes entidades excluidas disponibles para cada regla. Incluyen usuarios, dispositivos, dominios y direcciones IP. En este ejemplo, las opciones son Excluir dispositivos y Excluir direcciones IP.
Después de elegir el tipo de exclusión, puede agregar la exclusión. En el panel que se abre, seleccione el + botón para agregar la exclusión.
A continuación, agregue la entidad que se va a excluir. Seleccione + Agregar para agregar la entidad a la lista.
A continuación, seleccione Excluir direcciones IP (en este ejemplo) para completar la exclusión.
Una vez que haya agregado exclusiones, puede exportar la lista o quitar las exclusiones volviendo al botón Entidades excluidas . En este ejemplo, hemos vuelto a Excluir dispositivos. Para exportar la lista, seleccione el botón de flecha abajo.
Para eliminar una exclusión, seleccione la exclusión y seleccione el icono de papelera.
Entidades excluidas globalmente
Ahora también puede configurar exclusiones por entidades excluidas globalmente. Las exclusiones globales permiten definir determinadas entidades (direcciones IP, subredes, dispositivos o dominios) que se van a excluir en todas las detecciones que Defender for Identity tiene. Por ejemplo, si excluye un dispositivo, solo se aplicará a las detecciones que tengan la identificación del dispositivo como parte de la detección.
En el menú de la izquierda, seleccione Entidades excluidas globales. Verá las categorías de entidades que puede excluir.
Elija un tipo de exclusión. En este ejemplo, seleccionamos Excluir dominios.
Se abrirá un panel donde puede agregar un dominio que se va a excluir. Agregue el dominio que desea excluir.
El dominio se agregará a la lista. Seleccione Excluir dominios para completar la exclusión.
A continuación, verá el dominio en la lista de entidades que se excluirán de todas las reglas de detección. Puede exportar la lista o quitar las entidades seleccionándolas y seleccionando el botón Quitar .
