調整警示閾值
本文說明如何藉由調整特定 適用於身分識別的 Microsoft Defender 警示的閾值來設定誤判的數目。
某些適用於身分識別的 Defender 警示依賴 學習期間 來建立模式的配置檔,然後區分合法和可疑的活動。 每個警示在偵測邏輯中也有特定條件,可協助區分合法和可疑的活動,例如警示閾值和熱門活動的篩選。
使用 [ 調整警示閾值 ] 頁面來自定義特定警示的閾值層級,以影響其警示數量。 例如,如果您正在執行完整的測試,您可能會想要降低警示閾值,以盡可能觸發多個警示。
如果選取 [ 建議的測試模式 ] 選項,或閾值層級設定為 [中 ] 或 [ 低],不論警示的學習期間是否已完成,警示一律會立即觸發。
注意事項
[ 調整警示閾值] 頁面先前命名為 [ 進階設定]。 如需此轉換以及保留任何先前設定的詳細資訊,請參閱新 功能公告。
必要條件
若要在 Microsoft Defender 全面偵測回應 中檢視 [調整警示閾值] 頁面,您至少需要以安全性查看器身分存取。
若要在 [ 調整警示閾值 ] 頁面上進行變更,您至少需要以 安全性系統管理員身分存取。
定義警示閾值
建議您在仔細考慮之後,才將警示閾值從預設 (高) 。
例如,如果您有 NAT 或 VPN,建議您仔細考慮相關偵測的任何變更,包括 可疑的 DCSync 攻擊 (目錄服務複寫) 和 可疑的身 分識別竊取偵測。
若要定義警示閾值:
在 Microsoft Defender 全面偵測回應 中,移至 [設定身分>識別>] [調整警示閾值]。
![新 [調整警示閾值] 頁面的螢幕快照。](media/whats-new/adjust-alert-thresholds.png)
找出您要調整警示閾值的警示,然後選取您要套用的閾值層級。
- 高 是預設值,並套用標準閾值以減少誤判。
- 中低閾值會增加適用於身分識別的Defender所產生的警示數目。
當您選取 [中] 或 [ 低] 時,[ 資訊 ] 數據行中的詳細數據會加上粗體,以協助您了解變更如何影響警示行為。
選 取 [套用變更 ] 以儲存變更。
![新 [調整警示閾值] 頁面的螢幕快照。](media/whats-new/adjust-alert-thresholds.png#lightbox)
選 取 [還原為預設值 ],然後 [套用變更 ] 將所有警示重設為預設閾值 ([高) 。 還原為預設值是無法復原的,而且對閾值層級所做的任何變更都會遺失。
切換至測試模式
建議的測試模式選項旨在協助您瞭解所有適用於身分識別的 Defender 警示,包括一些與合法流量和活動相關的警示,讓您可以盡可能有效率地徹底評估適用於身分識別的 Defender。
如果您最近部署適用於身分識別的 Defender 並想要進行測試,請選取 [建議的測試模式 ] 選項,將所有警示閾值切換為 [低 ],並增加觸發的警示數目。
選取 [ 建議的測試模式 ] 選項時,閾值層級是只讀的。 當您完成測試時,請將 [建議的測試模式] 選項切換回,以返回先前的設定。
選 取 [套用變更 ] 以儲存變更。
臨界值設定支持的偵測
下表描述支援閾值層級調整的偵測類型,包括中低閾值的影響。
以 N/A 標示的儲存格表示偵測不支援臨界值層級
| 偵測 | 中 | 低 |
|---|---|---|
| LDAP) (安全性主體偵察 | 當設定為 [中] 時,此偵測會立即觸發警示,而不會等待學習期間,也會停用環境中熱門查詢的任何篩選。 | 當設定為 [低] 時,會套用 中 等閾值的所有支援,再加上較低的查詢臨界值、單一範圍列舉等等。 |
| 敏感性群組的可疑新增 | 不適用 | 當設定為 [低] 時,此偵測會避免滑動視窗,並忽略任何先前的學習。 |
| 可疑的AD FS DKM 金鑰讀取 | 不適用 | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間。 |
| 可疑的暴力密碼破解攻擊 (Kerberos、NTLM) | 當設定為 [中] 時,此偵測會忽略任何已完成的學習,且失敗密碼的閾值較低。 | 當設定為 [低] 時,此偵測會忽略任何已完成的學習,而且失敗的密碼可能具有最低的臨界值。 |
| 可疑的DCSync攻擊 (目錄服務複寫) | 當設定為 [中] 時,此偵測會立即觸發,而不會等待學習期間。 | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間,並避免IP篩選,例如NN。 |
| 可疑的黃金票證使用 (偽造的授權數據) | 不適用 | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間。 |
| 可疑的黃金票證使用 (加密降級) | 不適用 | 當設定為 [低] 時,此偵測會根據裝置的低信賴度解析來觸發警示。 |
| 可疑的身分識別竊取 (票證傳遞) | 不適用 | 當設定為 [低] 時,此偵測會立即觸發,而不會等待學習期間,並避免IP篩選,例如NN。 |
| SAMR) (使用者和群組成員資格偵察 | 當設定為 [中] 時,此偵測會立即觸發,而不會等待學習期間。 | 當設定為 [低] 時,此偵測會立即觸發,並包含較低的警示閾值。 |
如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的安全性警示。
下一步
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示。