경고 임계값 조정
이 문서에서는 특정 Microsoft Defender for Identity 경고에 대한 임계값을 조정하여 가양성 수를 구성하는 방법을 설명합니다.
일부 Defender for Identity 경고는 학습 기간을 사용하여 패턴 프로필을 빌드한 다음 합법적인 활동과 의심스러운 활동을 구분합니다. 각 경고에는 경고 임계값 및 인기 있는 활동에 대한 필터링과 같은 합법적인 활동과 의심스러운 활동을 구분하는 데 도움이 되는 검색 논리 내의 특정 조건도 있습니다.
경고 임계값 조정 페이지를 사용하여 특정 경고의 임계값 수준을 사용자 지정하여 경고 볼륨에 영향을 줍니다. 예를 들어 포괄적인 테스트를 실행하는 경우 경고 임계값을 낮추어 가능한 한 많은 경고를 트리거할 수 있습니다.
경고는 경고의 학습 기간이 이미 완료되었는지 여부에 관계없이 권장 테스트 모드 옵션을 선택하거나 임계값 수준이 중간 또는 낮음으로 설정된 경우 항상 즉시 트리거됩니다.
참고 항목
경고 임계값 조정 페이지는 이전에 고급 설정으로 지정되었습니다. 이 전환 및 이전 설정이 유지된 방법에 대한 자세한 내용은 새로운 기능 공지를 참조하세요.
필수 조건
Microsoft Defender XDR에서 경고 임계값 조정 페이지를 보려면 최소한 보안 뷰어로 액세스해야 합니다.
경고 임계값 조정 페이지에서 변경하려면 최소한 보안 관리자 권한으로 액세스해야 합니다.
경고 임계값 정의
신중하게 고려한 후에만 경고 임계값을 기본값(높음)에서 변경하는 것이 좋습니다.
예를 들어 NAT 또는 VPN이 있는 경우 의심되는 DCSync 공격(디렉터리 서비스 복제) 및 의심되는 ID 도난 검색을 포함하여 관련 검색에 대한 변경 내용을 신중하게 고려하는 것이 좋습니다.
경고 임계값을 정의하려면 다음을 수행합니다.
Microsoft Defender XDR에서 설정>ID>조정 경고 임계값으로 이동합니다.
경고 임계값을 조정하려는 경고를 찾아 적용할 임계값 수준을 선택합니다.
- 높 음은 기본값이며 가양성 감소를 위해 표준 임계값을 적용합니다.
- 중간 및 낮은 임계값은 Defender for Identity에서 생성된 경고 수를 증가시킵니다.
보통 또는 낮음을 선택하면 변경 내용이 경고 동작에 미치는 영향을 이해하는 데 도움이 되도록 정보 열에 세부 정보가 굵게 표시됩니다.
변경 내용 적용을 선택하여 변경 내용을 저장합니다.
기본값으로 되돌리기를 선택한 다음 변경 내용을 적용하여 모든 경고를 기본 임계값(높음)으로 다시 설정합니다. 기본값으로 되돌리는 것은 되돌릴 수 없으며 임계값 수준에 대한 변경 내용은 손실됩니다.
테스트 모드로 전환
권장 테스트 모드 옵션은 가능한 한 효율적으로 Defender for Identity를 평가할 수 있도록 합법적인 트래픽 및 활동과 관련된 일부 경고를 포함하여 모든 Defender for Identity 경고를 이해하는 데 도움이 되도록 설계되었습니다.
최근에 Defender for Identity를 배포하고 테스트하려는 경우 권장 테스트 모드 옵션을 선택하여 모든 경고 임계값을 낮음으로 전환하고 트리거되는 경고 수를 늘입니다.
임계값 수준은 권장 테스트 모드 옵션을 선택한 경우 읽기 전용입니다. 테스트를 마쳤으면 권장 테스트 모드 옵션을 다시 전환하여 이전 설정으로 돌아갑니다.
변경 내용 적용을 선택하여 변경 내용을 저장합니다.
임계값 구성에 대해 지원되는 검색
다음 표에서는 중간 및 낮은 임계값의 효과를 포함하여 임계값 수준에 대한 조정을 지원하는 검색 유형에 대해 설명합니다.
N/A로 표시된 셀은 임계값 수준이 검색에 지원되지 않음을 나타냅니다.
감지 | 중간 | 낮음 |
---|---|---|
보안 주체 정찰(LDAP) | 보통으로 설정하면 이 검색은 학습 기간을 기다리지 않고 경고를 즉시 트리거하고 환경에서 인기 있는 쿼리에 대한 필터링도 사용하지 않도록 설정합니다. | 낮음으로 설정하면 중간 임계값에 대한 모든 지원과 쿼리에 대한 낮은 임계값, 단일 범위 열거형 등이 적용됩니다. |
중요한 그룹에 의심스러운 추가 | 해당 없음 | 낮음으로 설정하면 이 검색은 슬라이딩 윈도우를 방지하고 이전 학습을 무시합니다. |
의심되는 AD FS DKM 키 읽기 | 해당 없음 | 낮음으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거됩니다. |
의심되는 무차별 암호 대입 공격(Kerberos, NTLM) | 보통으로 설정하면 이 검색은 수행된 모든 학습을 무시하고 실패한 암호에 대한 임계값을 낮춥니다. | 낮음으로 설정하면 이 검색은 수행된 모든 학습을 무시하고 실패한 암호에 대해 가능한 가장 낮은 임계값을 가합니다. |
의심되는 DCSync 공격(디렉터리 서비스 복제) | 보통으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거됩니다. | 낮음으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거되며 NAT 또는 VPN과 같은 IP 필터링을 방지합니다. |
의심되는 골든 티켓 사용(위조된 권한 부여 데이터) | 해당 없음 | 낮음으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거됩니다. |
의심되는 골든 티켓 사용(암호화 다운그레이드) | 해당 없음 | 낮음으로 설정하면 이 검색은 디바이스의 낮은 신뢰도 해상도에 따라 경고를 트리거합니다. |
의심되는 신원 도용(티켓 전달) | 해당 없음 | 낮음으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거되며 NAT 또는 VPN과 같은 IP 필터링을 방지합니다. |
SAMR(사용자 및 그룹 멤버 자격 정찰) | 보통으로 설정하면 이 검색은 학습 기간을 기다리지 않고 즉시 트리거됩니다. | 낮음으로 설정하면 이 검색은 즉시 트리거되고 낮은 경고 임계값을 포함합니다. |
자세한 내용은 Microsoft Defender for Identity의 보안 경고를 참조 하세요.
다음 단계
자세한 내용은 Microsoft Defender XDR에서 Defender for Identity 보안 경고 조사를 참조하세요.