调整警报阈值（预览版）

本文介绍如何通过调整特定 Microsoft Defender for Identity 警报的阈值来配置误报数。

某些 Defender for Identity 警报依赖于 学习期来构建模式配置文件，然后区分合法活动和可疑活动。 每个警报在检测逻辑中还设定了特定条件，以帮助区分合法活动和可疑活动，例如警报阈值和筛选常用活动。

使用调整警报阈值页自定义特定警报的阈值级别，以影响其警报量。 例如，如果要运行全面的测试，可能需要降低警报阈值以触发尽可能多的警报。

如果选择推荐测试模式选项，或将阈值级别设为中或低，则无论警报的学习期是否已完成，始终会立即触发警报。

注意

调整警报阈值页曾用名为高级设置。 有关此转换以及如何保留以前设置的详细信息，请参阅我们的新增功能公告。

先决条件

若要查看 Microsoft Defender XDR 中的调整警报阈值页，至少需要以安全查看者的身份进行访问。

若要在调整警报阈值页上进行更改，至少需要以安全管理员的身份进行访问。

定义警报阈值

建议在更改默认（高）警报阈值之前慎重考虑。

例如，如果使用 NAT 或 VPN，建议慎重考虑对相关检测的任何更改，包括可疑 DCSync 攻击（目录服务复制）和可疑身份盗用检测。

定义警报阈值：

1. 在 Microsoft Defender XDR 中，转到“设置”>“标识”>“调整警报阈值”。

   

2. 找到要调整警报阈值的警报位置，并选择要应用的阈值级别。

   • 高是默认值，并应用标准阈值来减少误报。
   • 中和低阈值会增加 Defender for Identity 生成的警报数。

   选择中或低时，详细信息在信息列中加粗，以帮助了解更改如何影响警报行为。

3. 选择应用更改以保存更改。

选择“恢复为默认值”，然后选择“应用更改”，以将所有警报重置为默认阈值（高）。 恢复为默认值不可逆，对阈值级别所做的任何更改都将丢失。

切换到测试模式

推荐测试模式选项旨在帮助你了解所有 Defender for Identity 警报，包括与合法流量和活动相关的一些警报，以便你能够尽可能高效地全面评估 Defender for Identity。

如果最近部署了 Defender for Identity 并且要对其进行测试，请选择推荐测试模式选项，将所有警报阈值切换为低，并增加触发的警报数。

选择推荐测试模式选项时，阈值级别为只读。 完成测试后，将推荐测试模式选项切换回以前的设置。

选择应用更改以保存更改。

阈值配置支持的检测

下表描述了支持阈值级别调整的检测类型，包括中和低阈值的影响。

标有 N/A 的单元格指示检测不支持阈值级别

检测	中型	高
安全主体侦查 (LDAP)	如果设置为中，则此检测会立即触发警报，而不会等待学习期，还会禁用对环境中常用查询的任何筛选。	设置为低时，对中阈值的所有支持均适用，还为查询、单范围枚举等设置了较低的阈值。
敏感组中的可疑内容添加	N/A	当设置为低时，此检测避免了滑动窗口，并忽略了之前的任何学习。
可疑的 AD FS DKM 密钥读取	N/A	设置为低时，此检测会立即触发，而不会等待学习期。
可疑的暴力攻击（Kerberos、NTLM）	设置为中时，此检测将忽略已完成的任何学习，并对密码失败设置较低的阈值。	设置为低时，此检测将忽略已完成的任何学习，并对密码失败设置最低阈值。
可疑的 DCSync 攻击（目录服务复制）	设置为中时，此检测会立即触发，而不会等待学习期。	如果设置为低，则此检测会立即触发，而不会等待学习期，并避免 IP 筛选（例如，NAT 或 VPN）。
可疑的黄金票证使用（伪造授权数据）	空值	设置为低时，此检测会立即触发，而不会等待学习期。
可疑的黄金票证使用情况（加密降级）	空值	设置为低时，此检测会根据设备的较低置信度分辨率触发警报。
可疑的身份盗用 (pass-the-ticket)	N/A	如果设置为低，则此检测会立即触发，而不会等待学习期，并避免 IP 筛选（例如，NAT 或 VPN）。
用户和组成员身份侦查 (SAMR)	设置为中时，此检测会立即触发，而不会等待学习期。	设置为低时，此检测将立即触发，并包含较低的警报阈值。

有关更多信息，请参阅 Microsoft Defender for Identity 中的安全警报。

下一步

有关详细信息，请参阅：调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。