Del via

Juster tærskler for beskeder

  • Artikel

I denne artikel beskrives det, hvordan du konfigurerer antallet af falske positiver ved at justere tærskler for bestemte Microsoft Defender for Identity beskeder.

Nogle defender for Identity-beskeder er afhængige af læringsperioder for at opbygge en profil af mønstre og derefter skelne mellem legitime og mistænkelige aktiviteter. Hver besked har også specifikke betingelser i registreringslogikken for at hjælpe med at skelne mellem legitime og mistænkelige aktiviteter, f.eks. beskedtærskler og filtrering for populære aktiviteter.

Brug siden Juster tærskelværdier for beskeder til at tilpasse tærskelniveauet for bestemte beskeder for at påvirke beskedmængden. Hvis du f.eks. kører omfattende test, kan det være en god idé at sænke beskedtærsklerne for at udløse så mange beskeder som muligt.

Beskeder udløses altid med det samme, hvis indstillingen Anbefalet testtilstand er valgt, eller hvis et tærskelniveau er angivet til Mellem eller Lav, uanset om beskedens læringsperiode allerede er fuldført.

Bemærk!

Siden Juster tærskelværdier for beskeder blev tidligere kaldt Avancerede indstillinger. Du kan finde oplysninger om denne overgang, og hvordan tidligere indstillinger blev bevaret, i vores meddelelse om nyheder.

Forudsætninger

Hvis du vil have vist siden Juster tærskler for beskeder i Microsoft Defender XDR, skal du som minimum have adgang som Sikkerhedsfremviser.

Hvis du vil foretage ændringer på siden Juster tærskler for beskeder , skal du som minimum have adgang som sikkerhedsadministrator.

Definer tærskler for beskeder

Vi anbefaler, at du først ændrer beskedtærskler fra standardindstillingen (Høj) efter nøje overvejelse.

Hvis du f.eks. har NAT eller VPN, anbefaler vi, at du nøje overvejer eventuelle ændringer af relevante registreringer, herunder Mistanke om DCSync-angreb (replikering af katalogtjenester) og registreringer af mistanke om identitetstyveri .

Sådan definerer du tærskler for beskeder:

  1. I Microsoft Defender XDR skal du gå til Indstillinger>Identiteter>Juster beskedtærskler.

    Skærmbillede af den nye side Juster beskedtærskler.

  2. Find den besked, hvor du vil justere beskedtærsklen, og vælg det tærskelniveau, du vil anvende.

    • High er standardværdien og anvender standardtærskler for at reducere falske positiver.
    • Mellem - og lav tærskler øger antallet af beskeder, der genereres af Defender for Identity.

    Når du vælger Mellem eller Lav, formateres oplysningerne med fed i kolonnen Oplysninger for at hjælpe dig med at forstå, hvordan ændringen påvirker funktionsmåden for beskeder.

  3. Vælg Anvend ændringer for at gemme ændringer.

Vælg Vend tilbage til standard , og anvend derefter ændringer for at nulstille alle beskeder til standardtærsklen (Høj). Det kan ikke fortrydes, at du vender tilbage til standardindstillingerne, og eventuelle ændringer af dine tærskelniveauer går tabt.

Skift til testtilstand

Indstillingen Anbefalet testtilstand er designet til at hjælpe dig med at forstå alle Defender for Identity-beskeder, herunder nogle relateret til legitim trafik og aktiviteter, så du kan evaluere Defender for Identity så effektivt som muligt.

Hvis du for nylig har installeret Defender for Identity og vil teste den, skal du vælge indstillingen Anbefalet testtilstand for at skifte alle beskedtærskler til Lav og øge antallet af udløste beskeder.

Tærskelniveauer er skrivebeskyttede, når indstillingen Anbefalet testtilstand er valgt. Når du er færdig med at teste, skal du slå indstillingen Anbefalet testtilstand fra for at vende tilbage til dine tidligere indstillinger.

Vælg Anvend ændringer for at gemme ændringer.

Understøttede registreringer for tærskelkonfigurationer

I følgende tabel beskrives de registreringstyper, der understøtter justeringer af tærskelniveauer, herunder virkningerne af mellem- og lavtærskelværdier .

Celler markeret med I/T angiver, at tærskelniveauet ikke understøttes for registreringen

Påvisning Middel Lav
Rekognoscering af sikkerhedsprincipal (LDAP) Når indstillingen er angivet til Mellem, udløser denne registrering straks beskeder uden at vente på en læringsperiode og deaktiverer også enhver filtrering for populære forespørgsler i miljøet. Når den er angivet til Lav, gælder al understøttelse af grænsen Mellem plus en lavere tærskel for forespørgsler, optælling af enkelt område m.m.
Mistænkelige tilføjelser til følsomme grupper NIELSEN Når indstillingen er angivet til Lav, undgår denne registrering skydevinduet og ignorerer tidligere erfaringer. 
Mistanke om AD FS DKM-nøgle læst  NIELSEN Når den er angivet til Lav, udløses denne registrering med det samme uden at vente på en læringsperiode. 
Mistænkt Brute Force-angreb (Kerberos, NTLM)  Når den er angivet til Mellem, ignorerer denne registrering al læring, der er udført, og har en lavere grænse for mislykkede adgangskoder.  Når den er angivet til Lav, ignorerer denne registrering al læring, der er udført, og har den lavest mulige grænse for mislykkede adgangskoder. 
Mistanke om DCSync-angreb (replikering af katalogtjenester)  Når den er angivet til Mellem, udløses denne registrering med det samme uden at vente på en læringsperiode.  Når den er angivet til Lav, udløses denne registrering med det samme uden at vente på en læringsperiode, og IP-filtrering som NAT eller VPN undgås. 
Mistanke om brug af golden ticket (forfalskede godkendelsesdata)  NIELSEN Når den er angivet til Lav, udløses denne registrering med det samme uden at vente på en læringsperiode. 
Mistanke om brug af golden ticket (nedgradering af kryptering)  NIELSEN Når indstillingen er angivet til Lav, udløser denne registrering en besked baseret på en enheds lavere konfidensopløsning. 
Mistanke om identitetstyveri (pass-the-ticket)  NIELSEN Når den er angivet til Lav, udløses denne registrering med det samme uden at vente på en læringsperiode, og IP-filtrering som NAT eller VPN undgås. 
Samr (User and Group membership reconnaissance)  Når den er angivet til Mellem, udløses denne registrering med det samme uden at vente på en læringsperiode.  Når den er angivet til Lav, udløses denne registrering med det samme og indeholder en lavere grænse for beskeder. 

Du kan få flere oplysninger under Sikkerhedsbeskeder i Microsoft Defender for Identity.

Næste trin

Du kan få flere oplysninger under Undersøg defender for identitetssikkerhedsbeskeder i Microsoft Defender XDR.