Partekatu honen bidez:


Ajuste de los umbrales de alerta

En este artículo se describe cómo configurar el número de falsos positivos ajustando umbrales para alertas específicas de Microsoft Defender for Identity.

Algunas alertas de Defender for Identity se basan en períodos de aprendizaje para crear un perfil de patrones y, a continuación, distinguir entre actividades legítimas y sospechosas. Cada alerta también tiene condiciones específicas dentro de la lógica de detección para ayudar a distinguir entre actividades legítimas y sospechosas, como umbrales de alerta y filtrado de actividades populares.

Use la página Ajustar umbrales de alerta para personalizar el nivel de umbral de alertas específicas para influir en su volumen de alertas. Por ejemplo, si está ejecutando pruebas completas, es posible que quiera reducir los umbrales de alerta para desencadenar tantas alertas como sea posible.

Las alertas siempre se desencadenan inmediatamente si se selecciona la opción Modo de prueba recomendado o si se establece un nivel de umbral en Medio o Bajo, independientemente de si el período de aprendizaje de la alerta ya se ha completado.

Nota:

La página Ajustar umbrales de alerta antes se llamaba Configuración avanzada. Para obtener más información sobre esta transición y sobre cómo se conservan las configuraciones anteriores, consulte nuestro anuncio de novedades.

Requisitos previos

Para ver la página Ajustar umbrales de alertas en Microsoft Defender XDR, necesita acceder al menos como Visor de seguridad.

Para realizar cambios en la página Ajustar umbrales de alertas, necesita acceder al menos como Administrador de seguridad.

Definición de umbrales de alerta

Se recomienda cambiar los umbrales de alerta del valor predeterminado (Alto) solo después de considerarlo detenidamente.

Por ejemplo, si tiene NAT o VPN, le recomendamos que considere detenidamente cualquier cambio en las detecciones relevantes, incluidas las detecciones de Sospecha de ataque DCSync (replicación de servicios de directorio) y Sospecha de robo de identidad.

Para definir los umbrales de alerta:

  1. En Microsoft Defender XDR, vaya a Configuración>Identidades>Ajustar umbrales de alerta.

    Captura de pantalla de la nueva página Ajustar umbrales de alerta.

  2. Busque la alerta cuyo umbral desea ajustar y seleccione el nivel de umbral que desee aplicar.

    • Alto es el valor predeterminado y aplica umbrales estándar para reducir los falsos positivos.
    • Los umbrales Medio y Bajo aumentan el número de alertas generadas por Defender for Identity.

    Al seleccionar Medio o Bajo, los detalles se muestran en negrita en la columna Información para ayudarle a comprender cómo afecta el cambio al comportamiento de la alerta.

  3. Seleccione Aplicar cambios para guardar los cambios.

Seleccione Revertir al valor predeterminado y, a continuación, Aplicar cambios para restablecer todas las alertas al umbral predeterminado (Alto). La reversión al valor predeterminado es irreversible y se pierden los cambios realizados en los niveles de umbral.

Cambiar al modo de prueba

La opción Modo de prueba recomendado está diseñada para ayudarle a comprender todas las alertas de Defender for Identity, incluidas algunas relacionadas con el tráfico legítimo y las actividades para que pueda evaluar a fondo Defender for Identity de la forma más eficaz posible.

Si ha implementado recientemente Defender for Identity y quiere probarlo, seleccione la opción Modo de prueba recomendado para cambiar todos los umbrales de alerta a Bajo y aumentar el número de alertas activadas.

Los niveles de umbral son de solo lectura cuando se selecciona la opción Modo de prueba recomendado. Cuando haya terminado de realizar pruebas, desactive la opción Modo de prueba recomendado para volver a la configuración anterior.

Seleccione Aplicar cambios para guardar los cambios.

Detecciones admitidas para configuraciones de umbral

En la tabla siguiente se describen los tipos de detecciones que admiten ajustes para los niveles de umbral, incluidos los efectos de los umbrales Medio y Bajo.

Las celdas marcadas con N/A indican que el nivel de umbral no se admite para la detección.

Detección media Bajo
Reconocimiento de entidad de seguridad (LDAP) Cuando se establece en Medio, esta detección desencadena alertas inmediatamente, sin esperar un período de aprendizaje, y también deshabilita cualquier filtrado de consultas populares en el entorno. Cuando se establece en Bajo, se aplica toda la compatibilidad del umbral Medio, además de un umbral inferior para consultas, enumeración de ámbito único y mucho más.
Incorporaciones sospechosas a grupos confidenciales N/A Cuando se establece en Bajo, esta detección evita la ventana deslizante e ignora cualquier aprendizaje anterior. 
Sospecha de lectura de la clave DKM de AD FS  N/A Cuando se establece en Bajo, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje. 
Sospecha de ataque por fuerza bruta (Kerberos, NTLM)  Cuando se establece en Medio, esta detección ignora cualquier aprendizaje realizado y tiene un umbral más bajo para las contraseñas con errores.  Cuando se establece en Bajo, esta detección ignora cualquier aprendizaje realizado y tiene el umbral más bajo posible para las contraseñas con errores. 
Sospecha de ataque DCSync (replicación de servicios de directorio)  Cuando se establece en Medio, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje.  Cuando se establece en Bajo, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje y evita el filtrado de IP como NAT o VPN. 
Sospecha de uso de Golden Ticket (datos de autorización falsificados)  N/D Cuando se establece en Bajo, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje. 
Sospecha de uso de Golden Ticket (degradación de cifrado)  N/D Cuando se establece en Bajo, esta detección desencadena una alerta basada en una resolución de confianza más baja de un dispositivo. 
Sospecha de robo de identidad (pass-the-ticket)  N/A Cuando se establece en Bajo, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje y evita el filtrado de IP como NAT o VPN. 
Reconocimiento de pertenencia a grupos y usuarios (SAMR)  Cuando se establece en Medio, esta detección se desencadena inmediatamente, sin esperar un período de aprendizaje.  Cuando se establece en Bajo, esta detección se activa inmediatamente e incluye un umbral de alerta más bajo. 

Para más información, consulte Alertas de seguridad en Microsoft Defender for Identity.

Paso siguiente

Para más información, consulte Investigación de alertas de seguridad de Defender for Identity en Microsoft Defender XDR.