在 Microsoft Defender 全面偵測回應 中設定適用於身分識別的Defender偵測排除專案
本文說明如何在 Microsoft Defender 全面偵測回應 中設定 適用於身分識別的 Microsoft Defender 偵測排除專案。
適用於身分識別的 Microsoft Defender 可排除特定IP位址、計算機、網域或使用者的多個偵測。
例如,使用 DNS 做為掃描機制的安全性掃描器可能會觸發 DNS 偵察 警示。 建立排除可協助適用於身分識別的Defender忽略這類掃描器,並減少誤判。
注意事項
建議您 調整警示, 而不是使用排除專案。 警示微調規則允許比排除範圍更細微的條件,並可讓您檢閱已微調的警示。
注意事項
在透過 DNS 警示開啟的 可疑通訊 最常見網域中,我們觀察到客戶最無法從警示中排除的網域。 根據預設,這些網域會新增至排除清單,但您可以選擇輕鬆地移除它們。
如何新增偵測排除專案
在 Microsoft Defender 全面偵測回應 中,移至 [設定],然後移至 [身分識別]。
![移至 [設定],然後移至 [身分識別]。](media/settings-identities.png)
接著,您會在左側功能表中看到 [ 排除的實體 ]。
接著,您可以使用兩種方法來設定排除專案:依 偵測規則排除 和 全域排除實體。
依偵測規則排除
在左側功能表中,選取 [依 偵測規則排除]。 您會看到偵測規則清單。
針對您想要設定的每個偵測,請執行下列步驟:
選取規則。 您可以使用搜尋列來搜尋偵測。 選取之後,會開啟含有偵測規則詳細數據的窗格。
若要新增排除專案,請選取 [ 排除的實體] 按鈕,然後選擇排除類型。 每個規則都提供不同的排除實體。 其中包括使用者、裝置、網域和IP位址。 在此範例中,選項為 [排除裝置 ] 和 [ 排除IP位址]。
選擇排除類型之後,您可以新增排除範圍。 在開啟的窗格中,選取 + 按鈕以新增排除範圍。
然後新增要排除的實體。 選 取 [+ 新增 ] 將實體新增至清單。
然後選取此範例中 (的 [排除IP位址) 以完成排除。
新增排除項目之後,您可以回到 [排除的實體] 按鈕,以匯出清單或移除排除 專案 。 在此範例中,我們已返回 [排除裝置]。 若要匯出清單,請選取向下箭號按鈕。
![返回 [排除裝置]。](media/return-to-exclude-devices.png)
若要刪除排除專案,請選取排除專案,然後選取垃圾桶圖示。
全域排除的實體
您現在也可以設定全域 排除實體的排除專案。 全域排除專案可讓您定義特定實體 (IP 位址、子網、裝置或網域) 在適用於身分識別的 Defender 擁有的所有偵測中排除。 例如,如果您排除裝置,它只會套用至在偵測過程中具有裝置識別的偵測。
在左側功能表中,選取 [ 全域排除的實體]。 您會看到可排除的實體類別。
選擇排除類型。 在此範例中,我們選取了 [排除網域]。
窗格隨即開啟,您可以在其中新增要排除的網域。 新增您想要排除的網域。
網域將會新增至清單。 選 取 [排除網域 ] 以完成排除。
![選取 [排除網域]。](media/select-exclude-domains.png)
接著,您會在實體清單中看到要從所有偵測規則中排除的網域。 您可以匯出清單,或選擇實體並選取 [ 移除 ] 按鈕來移除實體。
