Úprava prahových hodnot upozornění
Tento článek popisuje, jak nakonfigurovat počet falešně pozitivních výsledků úpravou prahových hodnot pro konkrétní výstrahy Microsoft Defender for Identity.
Některá upozornění Defenderu for Identity se při vytváření profilu vzorů spoléhají na období výuky a rozlišují mezi legitimními a podezřelými aktivitami. Každá výstraha má také specifické podmínky v rámci logiky detekce, které pomáhají rozlišovat mezi legitimními a podezřelými aktivitami, jako jsou prahové hodnoty upozornění a filtrování oblíbených aktivit.
Na stránce Upravit prahové hodnoty upozornění můžete přizpůsobit úroveň prahové hodnoty pro konkrétní výstrahy tak, aby ovlivnila jejich objem výstrah. Pokud například spouštíte komplexní testování, můžete chtít snížit prahové hodnoty upozornění, aby se aktivovalo co nejvíce výstrah.
Upozornění se vždy aktivují okamžitě, pokud je vybraná možnost Doporučený testovací režim nebo pokud je prahová hodnota nastavená na Střední nebo Nízká, bez ohledu na to, jestli se už doba výuky výstrahy dokončila.
Poznámka
Stránka Upravit prahové hodnoty upozornění se dříve jmenovala Upřesnit nastavení. Podrobnosti o tomto přechodu a o tom, jak se zachovala všechna předchozí nastavení, najdete v oznámení Co je nového.
Požadavky
Pokud chcete zobrazit stránku Upravit prahové hodnoty upozornění v Microsoft Defender XDR, potřebujete přístup aspoň jako prohlížeč zabezpečení.
Pokud chcete provádět změny na stránce Upravit prahové hodnoty upozornění , potřebujete přístup alespoň jako správce zabezpečení.
Definování prahových hodnot upozornění
Prahové hodnoty upozornění doporučujeme změnit z výchozí hodnoty (Vysoká) pouze po pečlivém zvážení.
Pokud máte například překlad adres (NAT) nebo SÍŤ VPN, doporučujeme pečlivě zvážit všechny změny relevantních detekcí, včetně podezřelých útoků DCSync (replikace adresářových služeb) a podezřelých detekcí krádeže identity .
Definování prahových hodnot upozornění:
V Microsoft Defender XDR přejděte na Nastavení>Identity Upravit>prahové hodnoty upozornění.
Vyhledejte výstrahu, u které chcete upravit prahovou hodnotu upozornění, a vyberte prahovou hodnotu, kterou chcete použít.
- Vysoká je výchozí hodnota a použije standardní prahové hodnoty pro snížení počtu falešně pozitivních výsledků.
- Střední a nízké prahové hodnoty zvyšují počet upozornění vygenerovaných službou Defender for Identity.
Když vyberete Možnost Střední nebo Nízká, podrobnosti se ve sloupci Informace zobrazí tučně, abyste pochopili, jak tato změna ovlivňuje chování upozornění.
Vyberte Použít změny a uložte změny.
Vyberte Vrátit se k výchozímu nastavení a pak použijte změny , aby se všechna upozornění obnovila na výchozí prahovou hodnotu (Vysoká). Návrat k výchozímu nastavení je nevratný a všechny změny provedené v úrovních prahové hodnoty se ztratí.
Přepnutí do testovacího režimu
Možnost Doporučený testovací režim je navržená tak, aby vám pomohla pochopit všechna upozornění služby Defender for Identity, včetně některých souvisejících s legitimním provozem a aktivitami, abyste mohli službu Defender for Identity co nejefektivněji vyhodnotit.
Pokud jste nedávno nasadili Defender for Identity a chcete ho otestovat, vyberte možnost Doporučený testovací režim , abyste přepnuli všechny prahové hodnoty upozornění na Nízkou a zvýšili počet aktivovaných upozornění.
Prahové hodnoty jsou jen pro čtení, pokud je vybraná možnost Doporučený testovací režim . Až testování dokončíte, přepněte možnost Doporučený testovací režim zpět, abyste se vrátili k předchozímu nastavení.
Vyberte Použít změny a uložte změny.
Podporované detekce pro konfigurace prahových hodnot
Následující tabulka popisuje typy detekcí, které podporují úpravy prahových hodnot, včetně účinků střední a nízké prahové hodnoty.
Buňky označené jako N/A označují, že úroveň prahové hodnoty není pro detekci podporovaná.
| Detekce | Střední | Nízký |
|---|---|---|
| Průzkum objektů zabezpečení (LDAP) | Pokud je tato detekce nastavená na střední, aktivuje upozornění okamžitě, aniž by čekala na dobu výuky, a také zakáže filtrování oblíbených dotazů v prostředí. | Pokud je nastavená hodnota Nízká, platí veškerá podpora střední prahové hodnoty plus nižší prahová hodnota pro dotazy, výčet jednoho oboru a další. |
| Podezřelé přidání citlivých skupin | Není k dispozici. | Pokud je tato detekce nastavená na Hodnotu Nízká, vyhne se posuvným oknům a ignoruje všechny předchozí poznatky. |
| Podezřelé čtení klíče DKM služby AD FS | Není k dispozici. | Pokud je tato detekce nastavená na Hodnotu Nízká, aktivuje se okamžitě, aniž by se čekalo na dobu výuky. |
| Podezřelý útok hrubou silou (Kerberos, NTLM) | Pokud je tato detekce nastavená na Střední, ignoruje všechny provedené učení a má nižší prahovou hodnotu pro hesla, která selhala. | Pokud je tato detekce nastavená na Hodnotu Nízká, ignoruje všechny provedené učení a má nejnižší možnou prahovou hodnotu pro hesla, která selhala. |
| Podezřelý útok DCSync (replikace adresářových služeb) | Když je tato detekce nastavená na střední, aktivuje se okamžitě, aniž byste museli čekat na dobu výuky. | Pokud je tato detekce nastavená na hodnotu Nízká, aktivuje se okamžitě, bez čekání na dobu výuky a vyhne se filtrování IP adres, jako je překlad adres (NAT) nebo VPN. |
| Podezření na použití zlatého lístku (zkameněná autorizační data) | Není k dispozici. | Pokud je tato detekce nastavená na Hodnotu Nízká, aktivuje se okamžitě, aniž by se čekalo na dobu výuky. |
| Podezření na použití zlatého lístku (downgrade šifrování) | Není k dispozici. | Pokud je tato detekce nastavená na hodnotu Nízká, aktivuje výstrahu na základě nižšího rozlišení spolehlivosti zařízení. |
| Podezření na krádež identity (pass-the-ticket) | Není k dispozici. | Pokud je tato detekce nastavená na hodnotu Nízká, aktivuje se okamžitě, bez čekání na dobu výuky a vyhne se filtrování IP adres, jako je překlad adres (NAT) nebo VPN. |
| Průzkum členství uživatelů a skupin (SAMR) | Když je tato detekce nastavená na střední, aktivuje se okamžitě, aniž byste museli čekat na dobu výuky. | Pokud je tato detekce nastavená na Hodnotu Nízká, aktivuje se okamžitě a zahrnuje nižší prahovou hodnotu upozornění. |
Další informace najdete v tématu Výstrahy zabezpečení v Microsoft Defender for Identity.
Další krok
Další informace najdete v tématu Zkoumání výstrah zabezpečení služby Defender for Identity v Microsoft Defender XDR.