Udostępnij za pośrednictwem


Dostosowywanie progów alertów

W tym artykule opisano sposób konfigurowania liczby wyników fałszywie dodatnich przez dostosowanie progów dla określonych alertów usługi Microsoft Defender for Identity.

Niektóre alerty usługi Defender for Identity polegają na okresach szkoleniowych w celu utworzenia profilu wzorców, a następnie rozróżnienia między uzasadnionymi i podejrzanymi działaniami. Każdy alert ma również określone warunki w logice wykrywania, aby ułatwić rozróżnienie między uzasadnionymi i podejrzanymi działaniami, takimi jak progi alertów i filtrowanie pod kątem popularnych działań.

Użyj strony Dostosowywanie progów alertów, aby dostosować poziom progu dla określonych alertów, aby wpłynąć na ich wolumin alertów. Jeśli na przykład uruchamiasz kompleksowe testowanie, możesz chcieć obniżyć progi alertów, aby wyzwolić jak najwięcej alertów.

Alerty są zawsze wyzwalane natychmiast, jeśli jest wybrana opcja Zalecany tryb testu lub jeśli poziom progu jest ustawiony na Średni lub Niski, niezależnie od tego, czy okres szkoleniowy alertu został już ukończony.

Uwaga

Strona Dostosowywanie progów alertów nosiła wcześniej nazwę Ustawienia zaawansowane. Aby uzyskać szczegółowe informacje o tym przejściu i sposobie zachowania wszystkich poprzednich ustawień, zobacz nasze ogłoszenie Co nowego.

Wymagania wstępne

Aby wyświetlić stronę Dostosowywanie progów alertów w usłudze Microsoft Defender XDR, musisz mieć dostęp co najmniej jako przeglądarka zabezpieczeń.

Aby wprowadzić zmiany na stronie Dostosowywanie progów alertów , musisz mieć dostęp co najmniej jako administrator zabezpieczeń.

Definiowanie progów alertów

Zalecamy zmianę progów alertów z domyślnego (wysoki) tylko po starannym rozważeniu.

Jeśli na przykład masz translator adresów sieciowych lub sieć VPN, zalecamy dokładne rozważenie wszelkich zmian dotyczących odpowiednich wykryć, w tym podejrzanego ataku DCSync (replikacji usług katalogowych) i wykrywania podejrzanych kradzieży tożsamości .

Aby zdefiniować progi alertów:

  1. W usłudze>Microsoft Defender XDR przejdź do pozycji Ustawienia>Tożsamości Dostosuj progi alertów.

    Zrzut ekranu przedstawiający nową stronę Dostosowywanie progów alertów.

  2. Znajdź alert, w którym chcesz dostosować próg alertu, i wybierz poziom progu, który chcesz zastosować.

    • Wysoki jest wartością domyślną i stosuje standardowe progi w celu zmniejszenia liczby wyników fałszywie dodatnich.
    • Średnie i niskie progi zwiększają liczbę alertów generowanych przez usługę Defender for Identity.

    Po wybraniu pozycji Średnia lub Niska szczegóły są pogrubione w kolumnie Informacje, aby ułatwić zrozumienie, w jaki sposób zmiana wpływa na zachowanie alertu.

  3. Wybierz pozycję Zastosuj zmiany , aby zapisać zmiany.

Wybierz pozycję Przywróć domyślne , a następnie pozycję Zastosuj zmiany , aby zresetować wszystkie alerty do domyślnego progu (Wysoki). Przywrócenie wartości domyślnej jest nieodwracalne, a wszelkie zmiany wprowadzone w poziomach progów zostaną utracone.

Przełączanie do trybu testowego

Opcja Zalecany tryb testu została zaprojektowana w celu ułatwienia zrozumienia wszystkich alertów usługi Defender for Identity, w tym niektórych związanych z legalnym ruchem i działaniami, dzięki czemu można dokładnie ocenić usługę Defender for Identity tak wydajnie, jak to możliwe.

Jeśli niedawno wdrożono usługę Defender for Identity i chcesz ją przetestować, wybierz opcję Zalecany tryb testu, aby przełączyć wszystkie progi alertów na niski i zwiększyć liczbę wyzwolonych alertów.

Poziomy progowe są tylko do odczytu, gdy jest wybrana opcja Zalecany tryb testu. Po zakończeniu testowania przełącz opcję Zalecany tryb testu, aby powrócić do poprzednich ustawień.

Wybierz pozycję Zastosuj zmiany , aby zapisać zmiany.

Obsługiwane wykrywanie konfiguracji progów

W poniższej tabeli opisano typy wykrywania, które obsługują korekty poziomów progów, w tym skutki progów średnich i niskich .

Komórki oznaczone N/A wskazują, że poziom progu nie jest obsługiwany dla wykrywania

Detection Średnia Niski
Rekonesans podmiotu zabezpieczeń (LDAP) Po ustawieniu opcji Średni ta funkcja wykrywania natychmiast wyzwala alerty bez oczekiwania na okres szkoleniowy, a także wyłącza filtrowanie popularnych zapytań w środowisku. Po ustawieniu wartości Niski wszystkie wsparcie dla progu Średni ma zastosowanie, a także niższy próg dla zapytań, wyliczenie pojedynczego zakresu i nie tylko.
Podejrzane dodatki do grup poufnych N/A Po ustawieniu wartości Niski ta funkcja wykrywania unika przesuwanego okna i ignoruje wszelkie wcześniejsze informacje. 
Podejrzenie odczytu klucza DKM usług AD FS  N/A Gdy jest ustawiona wartość Niska, to wykrywanie jest wyzwalane natychmiast, bez oczekiwania na okres nauki. 
Podejrzenie ataku siłowego (Kerberos, NTLM)  Po ustawieniu opcji Średnia ta funkcja wykrywania ignoruje wszystkie wykonane uczenie i ma niższy próg dla haseł, które zakończyły się niepowodzeniem.  Po ustawieniu wartości Niski ta funkcja wykrywania ignoruje wszystkie wykonane uczenie i ma najniższy możliwy próg dla haseł, które zakończyły się niepowodzeniem. 
Podejrzany atak DCSync (replikacja usług katalogowych)  Po ustawieniu opcji Średni ta funkcja wykrywania jest wyzwalana natychmiast, bez oczekiwania na okres nauki.  Po ustawieniu wartości Niski ta funkcja wykrywania jest wyzwalana natychmiast, bez oczekiwania na okres nauki i unika filtrowania adresów IP, takich jak translator adresów sieciowych lub sieci VPN. 
Podejrzane użycie biletu złotego (sfałszowane dane autoryzacji)  Nie dotyczy Gdy jest ustawiona wartość Niska, to wykrywanie jest wyzwalane natychmiast, bez oczekiwania na okres nauki. 
Podejrzenie użycia biletu złotego (obniżenie poziomu szyfrowania)  Nie dotyczy Po ustawieniu wartości Niski ta funkcja wykrywania wyzwala alert w oparciu o niższą rozdzielczość ufności urządzenia. 
Podejrzenie kradzieży tożsamości (pass-the-ticket)  N/A Po ustawieniu wartości Niski ta funkcja wykrywania jest wyzwalana natychmiast, bez oczekiwania na okres nauki i unika filtrowania adresów IP, takich jak translator adresów sieciowych lub sieci VPN. 
Rekonesans członkostwa użytkowników i grup (SAMR)  Po ustawieniu opcji Średni ta funkcja wykrywania jest wyzwalana natychmiast, bez oczekiwania na okres nauki.  Po ustawieniu wartości Niski ta funkcja wykrywania natychmiast wyzwala i zawiera niższy próg alertu. 

Aby uzyskać więcej informacji, zobacz Alerty zabezpieczeń w usłudze Microsoft Defender for Identity.

Następny krok

Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR.