Aracılığıyla paylaş

Uyarı eşiklerini ayarlama

  • Makale

Bu makalede, belirli Kimlik için Microsoft Defender uyarıları için eşikleri ayarlayarak hatalı pozitif sonuçların nasıl yapılandırıldığı açıklanır.

Bazı Kimlik için Defender uyarıları, desen profili oluşturmak ve ardından meşru ve şüpheli etkinlikler arasında ayrım yapmak için öğrenme dönemlerini kullanır. Her uyarı, uyarı eşikleri ve popüler etkinlikler için filtreleme gibi meşru ve şüpheli etkinlikleri ayırt etmeye yardımcı olmak için algılama mantığı içinde belirli koşullara da sahiptir.

Belirli uyarıların eşik düzeyini uyarı hacmini etkilemek üzere özelleştirmek için Uyarı eşiklerini ayarla sayfasını kullanın. Örneğin, kapsamlı test çalıştırıyorsanız, mümkün olduğunca çok uyarı tetikleyebilmek için uyarı eşiklerini düşürmek isteyebilirsiniz.

Önerilen test modu seçeneği belirlenirse veya uyarının öğrenme döneminin tamamlanıp tamamlanmadığına bakılmaksızın, bir eşik düzeyi Orta veya Düşük olarak ayarlanırsa uyarılar her zaman hemen tetiklenir.

Not

Uyarı eşiklerini ayarla sayfası daha önce Gelişmiş ayarlar olarak adlandırılmıştı. Bu geçiş ve önceki ayarların nasıl korundukları hakkında ayrıntılı bilgi için Yenilikler duyurumuza bakın.

Önkoşullar

Microsoft Defender XDR'de Uyarıları ayarla eşiklerini ayarla sayfasını görüntülemek için en azından Güvenlik görüntüleyicisi olarak erişmeniz gerekir.

Uyarı eşiklerini ayarla sayfasında değişiklik yapmak için en azından Güvenlik yöneticisi olarak erişime sahip olmanız gerekir.

Uyarı eşiklerini tanımlama

Uyarı eşiklerini yalnızca dikkatli bir şekilde değerlendirdikten sonra varsayılandan (Yüksek) değiştirmenizi öneririz.

Örneğin, NAT veya VPN kullanıyorsanız, Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltması) ve Şüpheli kimlik hırsızlığı algılamaları dahil olmak üzere ilgili algılamalarda yapılan değişiklikleri dikkatli bir şekilde değerlendirmenizi öneririz.

Uyarı eşiklerinizi tanımlamak için:

  1. Microsoft Defender XDR'de Ayarlar>Kimlikleri>Uyarı eşiklerini ayarla'ya gidin.

    Yeni Uyarı eşiklerini ayarla sayfasının ekran görüntüsü.

  2. Uyarı eşiğini ayarlamak istediğiniz uyarıyı bulun ve uygulamak istediğiniz eşik düzeyini seçin.

    • Yüksek varsayılan değerdir ve hatalı pozitif değerleri azaltmak için standart eşikler uygular.
    • Orta ve Düşük eşikler, Kimlik için Defender tarafından oluşturulan uyarı sayısını artırır.

    Orta veya Düşük seçeneğini belirlediğinizde, değişikliğin uyarı davranışını nasıl etkilediğini anlamanıza yardımcı olmak için Bilgiler sütununda ayrıntılar kalın yazıyla gösterilir.

  3. Değişiklikleri kaydetmek için Değişiklikleri uygula'yı seçin.

Varsayılana geri dön'e ve ardından Tüm uyarıları varsayılan eşiğe (Yüksek) sıfırlamak için Değişiklikleri uygula'yı seçin. Varsayılana geri döndürme geri alınamaz ve eşik düzeylerinizde yapılan tüm değişiklikler kaybolur.

Test moduna geçme

Önerilen test modu seçeneği, Kimlik için Defender'ı olabildiğince verimli bir şekilde değerlendirebilmeniz için meşru trafik ve etkinliklerle ilgili bazı bilgiler de dahil olmak üzere tüm Kimlik için Defender uyarılarını anlamanıza yardımcı olmak üzere tasarlanmıştır.

Yakın zamanda Kimlik için Defender'ı dağıttıysanız ve test etmek istiyorsanız, tüm uyarı eşiklerini Düşük olarak değiştirmek ve tetiklenen uyarı sayısını artırmak için Önerilen test modu seçeneğini belirleyin.

Önerilen test modu seçeneği belirlendiğinde eşik düzeyleri salt okunur olur. Testi bitirdiğinizde, önceki ayarlarınıza dönmek için Önerilen test modu seçeneğini kapatın.

Değişiklikleri kaydetmek için Değişiklikleri uygula'yı seçin.

Eşik yapılandırmaları için desteklenen algılamalar

Aşağıdaki tabloda, Orta ve Düşük eşiklerin etkileri de dahil olmak üzere eşik düzeyleri için ayarlamaları destekleyen algılama türleri açıklanmaktadır.

Yok ile işaretlenmiş hücreler, eşik düzeyinin algılama için desteklenmediğini gösterir

Detection Orta Düşük
Güvenlik sorumlusu keşfi (LDAP) Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden uyarıları hemen tetikler ve ayrıca ortamdaki popüler sorgular için filtrelemeyi devre dışı bırakır. Düşük olarak ayarlandığında, Orta eşik için tüm desteğin yanı sıra sorgular, tek kapsam numaralandırması ve daha fazlası için daha düşük bir eşik uygulanır.
Hassas gruplara şüpheli eklemeler YOK Düşük olarak ayarlandığında, bu algılama kayan pencereyi önler ve önceki öğrenmeleri yoksayar. 
Şüpheli AD FS DKM anahtarı okundu  YOK Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetikler. 
Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM)  Orta olarak ayarlandığında, bu algılama yapılan tüm öğrenmeleri yoksayar ve başarısız parolalar için daha düşük bir eşiğe sahiptir.  Düşük olarak ayarlandığında, bu algılama yapılan tüm öğrenmeleri yoksayar ve başarısız parolalar için mümkün olan en düşük eşiğe sahiptir. 
Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı)  Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetikler.  Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir ve NAT veya VPN gibi IP filtrelemesini önler. 
Şüpheli Altın Anahtar kullanımı (sahte yetkilendirme verileri)  Yok Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetikler. 
Şüpheli Altın Anahtar kullanımı (şifreleme düşürme)  Yok Düşük olarak ayarlandığında, bu algılama bir cihazın daha düşük güvenilirlik çözünürlüğüne dayalı bir uyarı tetikler. 
Şüpheli kimlik hırsızlığı (pass-the-ticket)  YOK Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir ve NAT veya VPN gibi IP filtrelemesini önler. 
Kullanıcı ve Grup üyeliği keşfi (SAMR)  Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetikler.  Düşük olarak ayarlandığında, bu algılama hemen tetikler ve daha düşük bir uyarı eşiği içerir. 

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender'de güvenlik uyarıları.

Sonraki adım

Daha fazla bilgi için bkz . Microsoft Defender XDR'de Kimlik için Defender güvenlik uyarılarını araştırma.