Justera tröskelvärden för aviseringar (förhandsversion)
I den här artikeln beskrivs hur du konfigurerar antalet falska positiva identifieringar genom att justera tröskelvärden för specifika Microsoft Defender för identitetsaviseringar.
Vissa Defender for Identity-aviseringar förlitar sig på inlärningsperioder för att skapa en profil med mönster och sedan skilja mellan legitima och misstänkta aktiviteter. Varje avisering har också specifika villkor inom identifieringslogik för att skilja mellan legitima och misstänkta aktiviteter, till exempel tröskelvärden för aviseringar och filtrering för populära aktiviteter.
Använd sidan Justera tröskelvärden för aviseringar för att anpassa tröskelvärdet för specifika aviseringar för att påverka deras aviseringsvolym. Om du till exempel kör omfattande testning kanske du vill sänka tröskelvärdena för aviseringar för att utlösa så många aviseringar som möjligt.
Aviseringar utlöses alltid omedelbart om alternativet Rekommenderat testläge har valts, eller om en tröskelvärdesnivå är inställd på Medel eller Låg, oavsett om aviseringens inlärningsperiod redan har slutförts.
Kommentar
Sidan Justera tröskelvärden för aviseringar hette tidigare Avancerade inställningar. Mer information om den här övergången och hur tidigare inställningar bevarades finns i meddelandet Nyheter.
Förutsättningar
Om du vill visa sidan Justera tröskelvärden för aviseringar i Microsoft Defender XDR behöver du åtkomst minst som säkerhetsvisningsprogram.
Om du vill göra ändringar på sidan Justera tröskelvärden för aviseringar behöver du åtkomst minst som säkerhetsadministratör.
Definiera tröskelvärden för aviseringar
Vi rekommenderar att du ändrar tröskelvärdena för aviseringar från standardvärdet (hög) först efter noggrant övervägande.
Om du till exempel har NAT eller VPN rekommenderar vi att du överväger eventuella ändringar av relevanta identifieringar noggrant, inklusive misstänkt DCSync-attack (replikering av katalogtjänster) och identifiering av misstänkt identitetsstöld .
Så här definierar du dina tröskelvärden för aviseringar:
I Microsoft Defender XDR går du till Inställningar> Identiteter>Justera tröskelvärden för aviseringar.
Leta upp aviseringen där du vill justera aviseringströskelvärdet och välj den tröskelvärdesnivå som du vill tillämpa.
- Hög är standardvärdet och tillämpar standardtrösklar för att minska falska positiva identifieringar.
- Med medelhöga och låga tröskelvärden ökar antalet aviseringar som genereras av Defender för identitet.
När du väljer Medel eller Låg är informationen fetstilt i kolumnen Information som hjälper dig att förstå hur ändringen påverkar aviseringsbeteendet.
Välj Tillämpa ändringar för att spara ändringar.
Välj Återgå till standard och sedan Tillämpa ändringar för att återställa alla aviseringar till standardtröskelvärdet (hög). Det går inte att återgå till standardvärdet och alla ändringar som görs i dina tröskelvärden går förlorade.
Växla till testläge
Alternativet Rekommenderat testläge är utformat för att hjälpa dig att förstå alla Defender for Identity-aviseringar, inklusive vissa relaterade till legitim trafik och aktiviteter så att du kan utvärdera Defender för identitet så effektivt som möjligt.
Om du nyligen har distribuerat Defender för identitet och vill testa den väljer du alternativet Rekommenderat testläge för att växla alla tröskelvärden för aviseringar till Låg och öka antalet utlösta aviseringar.
Tröskelvärdena är skrivskyddade när alternativet Rekommenderat testläge är valt. När du är klar med testningen växlar du alternativet Rekommenderat testläge tillbaka för att återgå till dina tidigare inställningar.
Välj Tillämpa ändringar för att spara ändringar.
Identifieringar som stöds för tröskelvärdeskonfigurationer
I följande tabell beskrivs de typer av identifieringar som stöder justeringar för tröskelvärden, inklusive effekterna av medelhöga och låga tröskelvärden.
Celler markerade med N/A anger att tröskelvärdet inte stöds för identifieringen
| Detection | Medium | Högt |
|---|---|---|
| Rekognosering av säkerhetsobjekt (LDAP) | När den här identifieringen är inställd på Medium utlöser den aviseringar omedelbart, utan att vänta på en inlärningsperiod, och inaktiverar även filtrering för populära frågor i miljön. | När värdet är Låg gäller allt stöd för tröskelvärdet Medel , plus ett lägre tröskelvärde för frågor, en enda omfångsuppräkning med mera. |
| Misstänkta tillägg till känsliga grupper | Ej tillämpligt | När inställningen är Låg undviker den här identifieringen skjutfönstret och ignorerar alla tidigare lärdomar. |
| Misstänkt AD FS DKM-nyckel läses | Ej tillämpligt | När inställningen är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. |
| Misstänkt Brute Force-attack (Kerberos, NTLM) | När den här identifieringen är inställd på Medium ignoreras all inlärning som görs och har ett lägre tröskelvärde för misslyckade lösenord. | När den här identifieringen är inställd på Låg ignoreras all inlärning som görs och har det lägsta möjliga tröskelvärdet för misslyckade lösenord. |
| Misstänkt DCSync-attack (replikering av katalogtjänster) | När den är inställd på Medium utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. | När inställningen är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod, och undviker IP-filtrering som NAT eller VPN. |
| Misstänkt golden ticket-användning (förfalskade auktoriseringsdata) | Ej tillämpligt | När inställningen är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. |
| Misstänkt golden ticket-användning (nedgradering av kryptering) | Ej tillämpligt | När inställningen är Låg utlöser den här identifieringen en avisering baserat på lägre konfidensmatchning för en enhet. |
| Misstänkt identitetsstöld (pass-the-ticket) | Ej tillämpligt | När inställningen är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod, och undviker IP-filtrering som NAT eller VPN. |
| Rekognosering av användar- och gruppmedlemskap (SAMR) | När den är inställd på Medium utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. | När inställningen är Låg utlöses den här identifieringen omedelbart och innehåller ett lägre tröskelvärde för aviseringar. |
Mer information finns i Säkerhetsaviseringar i Microsoft Defender för identitet.
Gå vidare
Mer information finns i Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för