Ajustar limites de alerta (Pré-visualização)
Este artigo descreve como configurar o número de falsos positivos ajustando limites para alertas específicos do Microsoft Defender for Identity.
Alguns alertas do Defender for Identity dependem de períodos de aprendizagem para criar um perfil de padrões e, em seguida, distinguir entre atividades legítimas e suspeitas. Cada alerta também tem condições específicas dentro da lógica de deteção para ajudar a distinguir entre atividades legítimas e suspeitas, como limites de alerta e filtragem para atividades populares.
Use a página Ajustar limites de alerta para personalizar o nível de limite para alertas específicos para influenciar o volume de alertas. Por exemplo, se você estiver executando testes abrangentes, convém reduzir os limites de alerta para disparar o maior número possível de alertas.
Os alertas são sempre acionados imediatamente se a opção Modo de teste recomendado estiver selecionada ou se um nível de limite estiver definido como Médio ou Baixo, independentemente de o período de aprendizagem do alerta já ter sido concluído.
Nota
A página Ajustar limites de alerta foi anteriormente denominada Configurações avançadas. Para obter detalhes sobre essa transição e como as configurações anteriores foram mantidas, consulte nosso Anúncio de novidades.
Pré-requisitos
Para exibir a página Ajustar limites de alertas no Microsoft Defender XDR, você precisa acessar pelo menos como um visualizador de segurança.
Para fazer alterações na página Ajustar limites de alertas, você precisa acessar pelo menos como administrador de segurança.
Definir limites de alerta
Recomendamos alterar os limites de alerta do padrão (Alto) somente após uma análise cuidadosa.
Por exemplo, se tiver NAT ou VPN, recomendamos que considere cuidadosamente quaisquer alterações às deteções relevantes, incluindo Suspeita de ataque DCSync (replicação de serviços de diretório) e Deteções suspeitas de roubo de identidade.
Para definir os limites de alerta:
No Microsoft Defender XDR, vá para Configurações>Identidades>Ajustar limites de alerta.
Localize o alerta onde deseja ajustar o limite de alerta e selecione o nível de limite que deseja aplicar.
- Alto é o valor padrão e aplica limites padrão para reduzir falsos positivos.
- Os limites Médio e Baixo aumentam o número de alertas gerados pelo Defender for Identity.
Quando você seleciona Médio ou Baixo, os detalhes são colocados em negrito na coluna Informações para ajudá-lo a entender como a alteração afeta o comportamento do alerta.
Selecione Aplicar alterações para salvar as alterações.
Selecione Reverter para padrão e, em seguida, Aplicar alterações para redefinir todos os alertas para o limite padrão (Alto). A reversão para o padrão é irreversível e todas as alterações feitas nos níveis de limite são perdidas.
Mudar para o modo de teste
A opção Modo de teste recomendado foi projetada para ajudá-lo a entender todos os alertas do Defender for Identity, incluindo alguns relacionados a tráfego e atividades legítimas, para que você possa avaliar completamente o Defender for Identity da forma mais eficiente possível.
Se você implantou recentemente o Defender for Identity e deseja testá-lo, selecione a opção Modo de teste recomendado para alternar todos os limites de alerta para Baixo e aumentar o número de alertas acionados.
Os níveis de limite são somente leitura quando a opção Modo de teste recomendado é selecionada. Quando terminar o teste, desative a opção Modo de teste recomendado para retornar às configurações anteriores.
Selecione Aplicar alterações para salvar as alterações.
Deteções suportadas para configurações de limite
A tabela a seguir descreve os tipos de deteções que oferecem suporte a ajustes para níveis de limite, incluindo os efeitos dos limites Médio e Baixo.
As células marcadas com N/D indicam que o nível limite não é suportado para a deteção
| Detection | Média | Alto |
|---|---|---|
| Reconhecimento da entidade de segurança (LDAP) | Quando definida como Média, essa deteção dispara alertas imediatamente, sem esperar por um período de aprendizagem, e também desativa qualquer filtragem para consultas populares no ambiente. | Quando definido como Baixo, todo o suporte para o limite Médio se aplica, além de um limite inferior para consultas, enumeração de escopo único e muito mais. |
| Adições suspeitas a grupos confidenciais | N/A | Quando definida como Baixa, essa deteção evita a janela deslizante e ignora quaisquer aprendizados anteriores. |
| Suspeita de leitura da chave AD FS DKM | N/A | Quando definido como Baixo, essa deteção é acionada imediatamente, sem esperar por um período de aprendizagem. |
| Suspeita de ataque de força bruta (Kerberos, NTLM) | Quando definida como Média, essa deteção ignora qualquer aprendizado feito e tem um limite mais baixo para senhas com falha. | Quando definida como Baixa, essa deteção ignora qualquer aprendizado feito e tem o menor limite possível para senhas com falha. |
| Suspeita de ataque DCSync (replicação de serviços de diretório) | Quando definido como Médio, essa deteção é acionada imediatamente, sem esperar por um período de aprendizagem. | Quando definida como Baixa, essa deteção é acionada imediatamente, sem esperar por um período de aprendizado, e evita a filtragem de IP, como NAT ou VPN. |
| Suspeita de uso do Golden Ticket (dados de autorização falsificados) | N/A | Quando definido como Baixo, essa deteção é acionada imediatamente, sem esperar por um período de aprendizagem. |
| Suspeita de uso do Golden Ticket (downgrade de criptografia) | N/A | Quando definida como Baixa, essa deteção dispara um alerta com base na resolução de confiança mais baixa de um dispositivo. |
| Suspeita de roubo de identidade (pass-the-ticket) | N/A | Quando definida como Baixa, essa deteção é acionada imediatamente, sem esperar por um período de aprendizado, e evita a filtragem de IP, como NAT ou VPN. |
| Reconhecimento de membros de usuários e grupos (SAMR) | Quando definido como Médio, essa deteção é acionada imediatamente, sem esperar por um período de aprendizagem. | Quando definido como Baixo, essa deteção é acionada imediatamente e inclui um limite de alerta mais baixo. |
Para obter mais informações, consulte Alertas de segurança no Microsoft Defender for Identity.
Próximo passo
Para obter mais informações, consulte Investigar alertas de segurança do Defender for Identity no Microsoft Defender XDR.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários