調整警示閾值 (預覽)
本文說明如何藉由調整特定 適用於身分識別的 Microsoft Defender 警示的閾值來設定誤判數目。
某些適用於身分識別的 Defender 警示依賴 學習期間 來建立模式的配置檔,然後區分合法和可疑的活動。 每個警示在偵測邏輯中也有特定條件,可協助區分合法和可疑活動,例如警示閾值和熱門活動的篩選。
使用 [ 調整警示閾值 ] 頁面來自定義特定警示的閾值層級,以影響其警示量。 例如,如果您正在執行完整的測試,您可能想要降低警示閾值,以盡可能觸發多個警示。
如果 選取 [建議的測試模式 ] 選項,或閾值等級設定為 [中 ] 或 [低],不論警示的學習期間是否已完成,一律會立即觸發警示。
注意
[ 調整警示閾值] 頁面先前命名 為 [進階設定]。 如需此轉換以及如何保留任何先前設定的詳細資訊,請參閱我們的 新功能公告。
必要條件
若要在 Microsoft Defender 全面偵測回應 中檢視 [調整警示閾值] 頁面,您至少需要存取安全性查看器。
若要在 [調整警示閾值] 頁面上進行變更,您至少需要以安全性系統管理員身分存取。
定義警示閾值
建議您只在仔細考慮之後,才從預設值變更警示臨界值。
例如,如果您有 NAT 或 VPN,建議您仔細考慮相關偵測的任何變更,包括 可疑的 DCSync 攻擊(目錄服務的復寫) 和 可疑的身分識別竊取 偵測。
若要定義警示閾值:
在 Microsoft Defender 全面偵測回應 中,移至 [設定> 標識符>調整警示閾值]。
![[調整警示閾值] 頁面的螢幕快照。](media/whats-new/adjust-alert-thresholds.png)
找出您想要調整警示閾值的警示,然後選取您想要套用的閾值層級。
- 高 是預設值,並套用標準閾值以減少誤判。
- 中低閾值會增加適用於身分識別的Defender所產生的警示數目。
當您選取 [中] 或 [低] 時,[資訊] 數據行中會以粗體顯示詳細數據,以協助您了解變更如何影響警示行為。
選取 [ 套用變更 ] 以儲存變更。
![[調整警示閾值] 頁面的螢幕快照。](media/whats-new/adjust-alert-thresholds.png#lightbox)
選取 [還原為預設值 ],然後 [套用變更 ] 將所有警示重設為預設閾值 (高)。 還原為預設值是無法復原的,而且會遺失對臨界值層級所做的任何變更。
切換至測試模式
建議的測試模式選項旨在協助您瞭解所有適用於身分識別的 Defender 警示,包括一些與合法流量和活動相關的警示,以便盡可能有效率地評估適用於身分識別的 Defender。
如果您最近部署的適用於身分識別的 Defender 並想要進行測試,請選取 [建議的測試模式 ] 選項,將所有警示閾值切換為 [低 ],並增加觸發的警示數目。
選取 [建議的測試模式] 選項時,閾值層級是只讀的。 當您完成測試時,請切換 [建議的測試模式 ] 選項返回先前的設定。
選取 [ 套用變更 ] 以儲存變更。
臨界值組態支援的偵測
下表描述支援閾值等級調整的偵測類型,包括中低臨界值的影響。
標示為 N/A 的儲存格表示偵測不支援臨界值層級
| 偵測 | 中 | 高 |
|---|---|---|
| 安全性主體偵察 (LDAP) | 當設定為 [中] 時,此偵測會立即觸發警示,而不需要等待學習期間,也會停用環境中熱門查詢的任何篩選。 | 當設定為 [低] 時,會套用中臨界值的所有支援,以及查詢、單一範圍列舉等的較低臨界值。 |
| 敏感性群組的可疑新增專案 | N/A | 當設定為 [低] 時,此偵測會避免滑動視窗,並忽略任何先前的學習。 |
| 可疑的AD FS DKM 金鑰讀取 | N/A | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間。 |
| 可疑的暴力密碼破解攻擊 (Kerberos, NTLM) | 當設定為 [中] 時,此偵測會忽略任何已完成的學習,而且密碼失敗的閾值較低。 | 當設定為 [低] 時,此偵測會忽略任何已完成的學習,而且密碼的可能閾值最低。 |
| 可疑的 DCSync 攻擊 (目錄服務的複寫) | 當設定為 [中] 時,此偵測會立即觸發,而不會等待學習期間。 | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間,並避免IP篩選,例如NN。 |
| 可疑的黃金票證使用 (偽造授權數據) | N/A | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間。 |
| 可疑的黃金票證使用方式 (加密降級) | N/A | 當設定為 [低] 時,此偵測會根據裝置的較低信賴度解析觸發警示。 |
| 可疑的身分識別竊取(票證) | N/A | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間,並避免IP篩選,例如NN。 |
| 使用者和群組成員資格偵察 (SAMR) | 當設定為 [中] 時,此偵測會立即觸發,而不會等待學習期間。 | 當設定為 [低] 時,此偵測會立即觸發,並包含較低的警示閾值。 |
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的安全性警示。
後續步驟
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: