Menyesuaikan ambang batas pemberitahuan
Artikel ini menjelaskan cara mengonfigurasi jumlah positif palsu dengan menyesuaikan ambang batas untuk pemberitahuan Microsoft Defender untuk Identitas tertentu.
Beberapa pemberitahuan Defender for Identity mengandalkan periode pembelajaran untuk membangun profil pola, lalu membedakan antara aktivitas yang sah dan mencurigakan. Setiap pemberitahuan juga memiliki kondisi khusus dalam logika deteksi untuk membantu membedakan antara aktivitas yang sah dan mencurigakan, seperti ambang pemberitahuan dan pemfilteran untuk aktivitas populer.
Gunakan halaman Sesuaikan ambang batas pemberitahuan untuk menyesuaikan tingkat ambang batas untuk pemberitahuan tertentu guna memengaruhi volume pemberitahuan mereka. Misalnya, jika Anda menjalankan pengujian komprehensif, Anda mungkin ingin menurunkan ambang batas pemberitahuan untuk memicu pemberitahuan sebanyak mungkin.
Pemberitahuan selalu dipicu segera jika opsi Mode pengujian yang direkomendasikan dipilih, atau jika tingkat ambang diatur ke Sedang atau Rendah, terlepas dari apakah periode pembelajaran pemberitahuan telah selesai.
Catatan
Halaman Sesuaikan ambang pemberitahuan sebelumnya bernama Pengaturan tingkat lanjut. Untuk detail tentang transisi ini dan bagaimana pengaturan sebelumnya dipertahankan, lihat Pengumuman Baru kami.
Prasyarat
Untuk melihat halaman Sesuaikan ambang batas pemberitahuan di Microsoft Defender XDR, Anda memerlukan akses setidaknya sebagai penampil Keamanan.
Untuk membuat perubahan pada halaman Sesuaikan ambang pemberitahuan, Anda memerlukan akses setidaknya sebagai administrator Keamanan.
Menentukan ambang batas pemberitahuan
Sebaiknya ubah ambang batas pemberitahuan dari default (Tinggi) hanya setelah pertimbangan yang cermat.
Misalnya, jika Anda memiliki NAT atau VPN, kami sarankan Anda mempertimbangkan perubahan apa pun pada deteksi yang relevan dengan hati-hati, termasuk serangan DCSync yang dicurigai (replikasi layanan direktori) dan Deteksi pencurian identitas yang dicurigai.
Untuk menentukan ambang batas pemberitahuan Anda:
Di Microsoft Defender XDR, buka Pengaturan>Identitas>Sesuaikan ambang pemberitahuan.
Temukan pemberitahuan tempat Anda ingin menyesuaikan ambang batas pemberitahuan dan pilih tingkat ambang yang ingin Anda terapkan.
- Tinggi adalah nilai default, dan menerapkan ambang standar untuk mengurangi positif palsu.
- Ambang menengah dan rendah meningkatkan jumlah pemberitahuan yang dihasilkan oleh Defender untuk Identitas.
Saat Anda memilih Sedang atau Rendah, detail dicetak tebal di kolom Informasi untuk membantu Anda memahami bagaimana perubahan memengaruhi perilaku pemberitahuan.
Pilih Terapkan perubahan untuk menyimpan perubahan.
Pilih Kembalikan ke default lalu Terapkan perubahan untuk mengatur ulang semua pemberitahuan ke ambang default (Tinggi). Mengembalikan ke default tidak dapat diubah dan perubahan apa pun yang dilakukan pada tingkat ambang Anda hilang.
Beralih ke mode pengujian
Opsi Mode pengujian yang direkomendasikan dirancang untuk membantu Anda memahami semua pemberitahuan Defender for Identity, termasuk beberapa yang terkait dengan lalu lintas dan aktivitas yang sah sehingga Anda dapat mengevaluasi Defender for Identity secara menyeluruh seefisien mungkin.
Jika Anda baru-baru ini menyebarkan Defender for Identity dan ingin mengujinya, pilih opsi Mode pengujian yang direkomendasikan untuk mengalihkan semua ambang batas pemberitahuan ke Rendah dan meningkatkan jumlah pemberitahuan yang dipicu.
Tingkat ambang batas bersifat baca-saja saat opsi Mode pengujian yang direkomendasikan dipilih. Setelah selesai menguji, alihkan kembali opsi Mode pengujian yang direkomendasikan untuk kembali ke pengaturan Anda sebelumnya.
Pilih Terapkan perubahan untuk menyimpan perubahan.
Deteksi yang didukung untuk konfigurasi ambang batas
Tabel berikut ini menjelaskan jenis deteksi yang mendukung penyesuaian untuk tingkat ambang batas, termasuk efek ambang batas Sedang dan Rendah .
Sel yang ditandai dengan N/A menunjukkan bahwa tingkat ambang tidak didukung untuk deteksi
| Detection | Sedang | Kurang Penting |
|---|---|---|
| Pengintaian utama keamanan (LDAP) | Saat diatur ke Sedang, deteksi ini segera memicu pemberitahuan, tanpa menunggu periode pembelajaran, dan juga menonaktifkan pemfilteran apa pun untuk kueri populer di lingkungan. | Saat diatur ke Rendah, semua dukungan untuk ambang batas Sedang berlaku, ditambah ambang batas bawah untuk kueri, enumerasi cakupan tunggal, dan banyak lagi. |
| Penambahan mencurigakan untuk grup sensitif | N/A | Ketika diatur ke Rendah, deteksi ini menghindari jendela geser dan mengabaikan pembelajaran sebelumnya. |
| Dugaan kunci AD FS DKM dibaca | N/A | Saat diatur ke Rendah, deteksi ini segera memicu, tanpa menunggu periode pembelajaran. |
| Dugaan serangan Brute Force (Kerberos, NTLM) | Ketika diatur ke Sedang, deteksi ini mengabaikan pembelajaran apa pun yang dilakukan dan memiliki ambang batas yang lebih rendah untuk kata sandi yang gagal. | Ketika diatur ke Rendah, deteksi ini mengabaikan pembelajaran apa pun yang dilakukan dan memiliki ambang batas terendah yang mungkin untuk kata sandi yang gagal. |
| Dugaan serangan DCSync (replikasi layanan direktori) | Ketika diatur ke Sedang, deteksi ini segera memicu, tanpa menunggu periode pembelajaran. | Ketika diatur ke Rendah, deteksi ini segera memicu, tanpa menunggu periode pembelajaran, dan menghindari pemfilteran IP seperti NAT atau VPN. |
| Dugaan penggunaan Golden Ticket (data otorisasi yang dipalsukan) | T/A | Saat diatur ke Rendah, deteksi ini segera memicu, tanpa menunggu periode pembelajaran. |
| Dugaan penggunaan Golden Ticket (enkripsi diturunkan) | T/A | Saat diatur ke Rendah, deteksi ini memicu pemberitahuan berdasarkan resolusi keyakinan perangkat yang lebih rendah. |
| Dugaan pencurian identitas (pass-the-ticket) | N/A | Ketika diatur ke Rendah, deteksi ini segera memicu, tanpa menunggu periode pembelajaran, dan menghindari pemfilteran IP seperti NAT atau VPN. |
| Pengintaian keanggotaan Pengguna dan Grup (SAMR) | Ketika diatur ke Sedang, deteksi ini segera memicu, tanpa menunggu periode pembelajaran. | Saat diatur ke Rendah, deteksi ini segera memicu dan menyertakan ambang batas pemberitahuan yang lebih rendah. |
Untuk informasi selengkapnya, lihat Pemberitahuan keamanan di Microsoft Defender untuk Identitas.
Langkah selanjutnya
Untuk informasi selengkapnya, lihat Menyelidiki pemberitahuan keamanan Pertahanan untuk Identitas di Microsoft Defender XDR.