调整警报阈值(预览版)
本文介绍如何通过调整特定 Microsoft Defender for Identity 警报的阈值来配置误报数。
某些 Defender for Identity 警报依赖于 学习期来构建模式配置文件,然后区分合法活动和可疑活动。 每个警报在检测逻辑中还设定了特定条件,以帮助区分合法活动和可疑活动,例如警报阈值和筛选常用活动。
使用调整警报阈值页自定义特定警报的阈值级别,以影响其警报量。 例如,如果要运行全面的测试,可能需要降低警报阈值以触发尽可能多的警报。
如果选择推荐测试模式选项,或将阈值级别设为中或低,则无论警报的学习期是否已完成,始终会立即触发警报。
注意
调整警报阈值页曾用名为高级设置。 有关此转换以及如何保留以前设置的详细信息,请参阅我们的新增功能公告。
先决条件
若要查看 Microsoft Defender XDR 中的调整警报阈值页,至少需要以安全查看者的身份进行访问。
若要在调整警报阈值页上进行更改,至少需要以安全管理员的身份进行访问。
定义警报阈值
建议在更改默认(高)警报阈值之前慎重考虑。
例如,如果使用 NAT 或 VPN,建议慎重考虑对相关检测的任何更改,包括可疑 DCSync 攻击(目录服务复制)和可疑身份盗用检测。
定义警报阈值:
在 Microsoft Defender XDR 中,转到“设置”>“标识”>“调整警报阈值”。
找到要调整警报阈值的警报位置,并选择要应用的阈值级别。
- 高是默认值,并应用标准阈值来减少误报。
- 中和低阈值会增加 Defender for Identity 生成的警报数。
选择中或低时,详细信息在信息列中加粗,以帮助了解更改如何影响警报行为。
选择应用更改以保存更改。
选择“恢复为默认值”,然后选择“应用更改”,以将所有警报重置为默认阈值(高)。 恢复为默认值不可逆,对阈值级别所做的任何更改都将丢失。
切换到测试模式
推荐测试模式选项旨在帮助你了解所有 Defender for Identity 警报,包括与合法流量和活动相关的一些警报,以便你能够尽可能高效地全面评估 Defender for Identity。
如果最近部署了 Defender for Identity 并且要对其进行测试,请选择推荐测试模式选项,将所有警报阈值切换为低,并增加触发的警报数。
选择推荐测试模式选项时,阈值级别为只读。 完成测试后,将推荐测试模式选项切换回以前的设置。
选择应用更改以保存更改。
阈值配置支持的检测
下表描述了支持阈值级别调整的检测类型,包括中和低阈值的影响。
标有 N/A 的单元格指示检测不支持阈值级别
检测 | 中型 | 高 |
---|---|---|
安全主体侦查 (LDAP) | 如果设置为中,则此检测会立即触发警报,而不会等待学习期,还会禁用对环境中常用查询的任何筛选。 | 设置为低时,对中阈值的所有支持均适用,还为查询、单范围枚举等设置了较低的阈值。 |
敏感组中的可疑内容添加 | N/A | 当设置为低时,此检测避免了滑动窗口,并忽略了之前的任何学习。 |
可疑的 AD FS DKM 密钥读取 | N/A | 设置为低时,此检测会立即触发,而不会等待学习期。 |
可疑的暴力攻击(Kerberos、NTLM) | 设置为中时,此检测将忽略已完成的任何学习,并对密码失败设置较低的阈值。 | 设置为低时,此检测将忽略已完成的任何学习,并对密码失败设置最低阈值。 |
可疑的 DCSync 攻击(目录服务复制) | 设置为中时,此检测会立即触发,而不会等待学习期。 | 如果设置为低,则此检测会立即触发,而不会等待学习期,并避免 IP 筛选(例如,NAT 或 VPN)。 |
可疑的黄金票证使用(伪造授权数据) | 空值 | 设置为低时,此检测会立即触发,而不会等待学习期。 |
可疑的黄金票证使用情况(加密降级) | 空值 | 设置为低时,此检测会根据设备的较低置信度分辨率触发警报。 |
可疑的身份盗用 (pass-the-ticket) | N/A | 如果设置为低,则此检测会立即触发,而不会等待学习期,并避免 IP 筛选(例如,NAT 或 VPN)。 |
用户和组成员身份侦查 (SAMR) | 设置为中时,此检测会立即触发,而不会等待学习期。 | 设置为低时,此检测将立即触发,并包含较低的警报阈值。 |
有关更多信息,请参阅 Microsoft Defender for Identity 中的安全警报。
下一步
有关详细信息,请参阅:调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈