本文提供如何在 Microsoft Defender 全面偵測回應中自動干擾攻擊時,排除資產被自動限制的資訊。
自動攻擊中斷可將特定使用者帳號、裝置及 IP 位址排除在自動遏制行動之外。 一旦被排除,這些資產將不會受到因攻擊中斷而觸發的自動行動影響。
注意
不建議將資產排除在自動回覆之外。 將資產排除在自動回應之外,可能會降低自動攻擊干擾在保護環境免受複雜且高衝擊攻擊方面的效能。
必要條件
若要在自動攻擊干擾中排除資產於自動回應之外,您必須在Microsoft Entra ID (https://portal.azure.com) 或Microsoft 365 系統管理中心 (https://admin.microsoft.com) 中指定以下角色之一:
- 全域系統管理員
- 安全性系統管理員
檢視或更改資產的自動回應排除條款
在自動攻擊中斷時,要將資產排除在自動回應之外,請遵循以下步驟:
進入Microsoft Defender入口網站 (https://security.microsoft.com) 並登入。
前往設定>Microsoft Defender 全面偵測回應。
排除使用者帳號
在自動回覆中,選擇身份。
要排除使用者帳號,請選擇 新增使用者排除。 會出現一個飛出視窗。
在飛出視窗中,輸入使用者帳號名稱,並選擇你想排除的使用者帳號。
選擇 「排除使用者 」以儲存排除內容。
排除裝置群組
注意
將裝置群組排除於自動回應之外,也會影響 自動化調查與回應 行動。
在 自動回覆中,選擇 裝置。
在 裝置群組 分頁中,從群組名稱清單中勾選方塊,選擇裝置群組,以設定攻擊中斷自動化設定。
在飛出窗格中,選擇裝置群組的適當自動化層級。 您可以從以下適合您裝置群組的自動化等級中選擇:
- 完整 - 自動修復威脅:偵測到威脅時自動控制裝置。
- 半 - 要求核心資料夾核准:當收到警報時自動調查裝置,並套用修復行動,唯獨核心系統資料夾內的項目除外。 核心資料夾的修復行動需要核准。
- 半自動 - 要求非臨時資料夾的核准:當收到警報時,自動調查並對臨時和下載資料夾內的動作套用修復。 其他所有整治行動均需核准。
- 半自動化 - 要求所有資料夾都經過核准:收到警報時自動調查裝置。 所有整治行動均需經核准。
- 無自動回應:此群組中的裝置不進行自動調查或回應。
選擇 儲存 以儲存裝置群組的自動化等級。
重要事項
本文部分資訊涉及預售產品,該產品在商業發行前可能會進行大幅修改。 Microsoft 對此處提供的資訊不作明示或暗示的任何保證。
排除 IP
在 自動回覆中,選擇 裝置。
在 IP 標籤中,選擇 「排除 IP 」以排除 IP 位址。
在飛出視窗中,輸入你想排除的 IP 位址/IP 範圍/IP 子網路。 你可以用逗號分隔多個 IP 位址和 IP 子網。
請加上排除名單和備註。 選擇 建立 以儲存排除內容。
移除排除條款
要移除排除條款:
- 請前往身份( Identities )頁面。 選擇你想從清單中移除的使用者帳號,然後選擇 移除。
- 到 裝置 頁面,然後進入 IP 標籤。選擇你想從清單中移除的 IP 位址,然後選擇 移除排除。
- 裝置群組排除可以在 裝置群組 標籤中設定。從清單中選擇你想設定的裝置群組,並從飛出視窗中選擇適當的排除選項。 選擇 儲存 以儲存排除清單。
選擇退出自動攻擊干擾
選擇不參與攻擊中斷會大幅增加安全風險。 考慮排除 特定實體 。
如果你必須選擇退出攻擊中斷,可以在 Microsoft Defender 入口網站開啟支援案件,並以「攻擊中斷選擇退出」來申請。在您的申請中,請明確表示您希望選擇退出攻擊中斷,並附上簡短的決定說明。 這些回饋幫助我們改進功能,並更深入了解客戶需求。 選擇退出後,你仍會收到與攻擊中斷相關的警示,但不會自動執行。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。