アラートのしきい値を調整する
この記事では、特定の Microsoft Defender for Identity アラートのしきい値を調整することにより、誤検知の数を構成する方法について説明します。
一部の Defender for Identity アラートは、ラーニング期間に基づいてパターンのプロファイルを構築し、正当なアクティビティと疑わしいアクティビティを区別します。 検出ロジック内にも、正当なアクティビティと疑わしいアクティビティを区別するために役立つ、各アラートに特定の条件 (アラートのしきい値や一般的なアクティビティの絞り込みなど) があります。
特定のアラートのしきい値レベルをカスタマイズし、アラートの量を調整するには、[アラートのしきい値を調整する] ページを使用します。 たとえば、包括的なテストを実行している場合は、できるだけ多くのアラートをトリガーするために、アラートのしきい値を小さくすることもできます。
[推奨テスト モード] オプションが選択されている場合や、しきい値レベルが [中] または [低] に設定されている場合は、アラートの学習期間が既に完了しているかどうかに関係なく、アラートは常に直ちにトリガーされます。
Note
[アラートのしきい値を調整する] ページは、以前は [詳細設定] という名前でした。 この切り替えの詳細と、以前の設定がどのように保持されているかについては、新着情報を参照してください。
前提条件
Microsoft Defender XDR の [アラートのしきい値を調整する] ページを表示するには、セキュリティ閲覧者以上の権限でアクセスする必要があります。
[アラートのしきい値を調整する] ページで変更を行うには、セキュリティ管理者以上の権限でアクセスする必要があります。
アラートのしきい値を定義する
アラートのしきい値を既定値 ([高]) から変更する場合は、事前に慎重に検討することをお勧めします。
たとえば、NAT や VPN をお使いの場合は、[DCSync 攻撃の可能性 (ディレクトリ サービスのレプリケーション)] や [ID 盗難の疑い] 検出など、関連する検出に対する変更は慎重に検討することをお勧めします。
アラートのしきい値を定義するには:
Microsoft Defender XDR で、[設定]>[ID]>[アラートのしきい値を調整する] に移動します。
![新しい [アラートのしきい値の調整] ページのスクリーンショット。](media/whats-new/adjust-alert-thresholds.png)
しきい値を調整するアラートを見つけ、適用するしきい値レベルを選択します。
- [高] は既定値であり、誤検知を減らすための標準的なしきい値を適用する場合に使用します。
- しきい値を [中] または [低] に設定すると、Defender for Identity によって生成されるアラートの数が増えます。
[中] または [低] を選択すると、変更によってアラートの動作がどのような影響を受けるか理解しやすいように、詳細が太字で [情報] 列に表示されます。
[変更の適用] を選択して変更を保存します。
![新しい [アラートのしきい値の調整] ページのスクリーンショット。](media/whats-new/adjust-alert-thresholds.png#lightbox)
すべてのアラートを既定のしきい値 ([高]) にリセットするには、[既定値に戻す] を選択し、[変更の適用] を選択します。 既定値に戻す操作を行うと、元に戻すことはできません。しきい値レベルに加えられた変更は失われます。
テスト モードに切り替える
[推奨テスト モード] オプションは、Defender for Identity をできるだけ効率的に評価できるように、正当なトラフィックやアクティビティに関連するアラートを含め、すべての Defender for Identity アラートを理解できるように設計されています。
Defender for Identity のデプロイを最近行ってそれをテストする場合は、[推奨されるテスト モード] オプションを選択して、アラートのしきい値をすべて [低] に切り替え、トリガーされるアラートの数を増やします。
[推奨テスト モード] オプションが選択されている場合、しきい値レベルは読み取り専用になります。 テストが完了したら、[推奨テスト モード] オプションをオフに切り替えて、以前の設定に戻します。
[変更の適用] を選択して変更を保存します。
しきい値の構成でサポートされている検出
次の表では、しきい値レベルの調整をサポートしている検出の種類について説明します。しきい値を [中] または [低] に設定した場合の影響についての情報も含まれます。
"該当なし" と示されているセルは、その検出に対してしきい値レベルがサポートされていないことを示します
| 検出 | Medium | 低 |
|---|---|---|
| セキュリティ プリンシパルの偵察 (LDAP) | この検出のしきい値を [中] に設定すると、学習期間を待たずにアラートがすぐにトリガーされ、環境内で一般的なクエリの絞り込みも無効になります。 | [低] に設定すると、[中] しきい値に対するすべてのサポートが適用され、これに加えて、クエリ、単一スコープ列挙などに対するしきい値が小さくなります。 |
| 感度の高いグループへの疑わしい追加 | なし | [低] に設定すると、この検出ではスライディング ウィンドウが回避され、以前の学習が無視されます。 |
| AD FS DKM キーが読み取られた可能性 | なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 |
| ブルート フォース攻撃の疑い (Kerberos、NTLM) | [中] に設定すると、この検出では完了済みの学習が無視され、失敗したパスワードに対するしきい値が低くなります。 | [低] に設定すると、この検出では完了済みの学習が無視され、失敗したパスワードに対するしきい値が最も低くなります。 |
| DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) | [中] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされ、NAT や VPN などの IP フィルタリングが回避されます。 |
| 疑わしいゴールデン チケット使用 (偽造された承認データ) | 該当なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 |
| 疑わしいゴールデン チケットの使用 (暗号化のダウングレード) | 該当なし | [低] に設定すると、この検出では、デバイスに関する低解像度の信頼度に基づいてアラートがトリガーされます。 |
| ID なりすましの疑い(パス ザ チケット) | なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされ、NAT や VPN などの IP フィルタリングが回避されます。 |
| ユーザーおよびグループ メンバーシップの偵察 (SAMR) | [中] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 | [低] に設定すると、この検出はすぐにトリガーされ、より低いアラートしきい値が含まれるようになります。 |
詳細については、「Microsoft Defender for Identity のセキュリティ アラート」を参照してください。
次のステップ
詳細については、「Microsoft Defender XDR で Defender for Identity セキュリティ アラートを調査する」を参照してください。