Hälytyskynnysten säätäminen
Tässä artikkelissa kuvataan, miten voit määrittää false-positiivisten määrän säätämällä tiettyjen Microsoft Defender for Identity ilmoitusten raja-arvoja.
Jotkin Defender for Identity -hälytykset käyttävät oppimisjaksoja malliprofiilin luomiseen ja laillisen ja epäilyttävän toiminnan erottamiseen. Jokaisella hälytyksessä on myös erityisiä ehtoja tunnistuslogiikan sisällä, jotta voidaan erottaa lailliset ja epäilyttävät toimet, kuten hälytyskynnysarvot ja suositun toiminnan suodattaminen.
Säädä ilmoitusten raja-arvoja -sivun avulla voit mukauttaa tiettyjen ilmoitusten kynnystasoa, jotta ne voivat vaikuttaa niiden ilmoitusmäärään. Jos suoritat esimerkiksi kattavaa testausta, haluat ehkä pienentää ilmoituskynnysarvoja, jotta saat mahdollisimman monta ilmoitusta.
Ilmoitukset käynnistetään aina heti, jos Suositeltu testitila -asetus on valittuna tai raja-arvoksi on määritetty Keskikoko tai Pieni riippumatta siitä, onko hälytyksen oppimisjakso jo suoritettu.
Huomautus
Säädä ilmoituksen raja-arvoja -sivun nimi oli aiemmin Lisäasetukset. Lisätietoja tästä siirtymästä ja siitä, miten aiemmat asetukset säilytettiin, on Uudet ominaisuudet -ilmoituksessamme.
Ennakkovaatimukset
Jos haluat tarkastella Säädä ilmoitusten raja-arvoja -sivua Microsoft Defender XDR, tarvitset käyttöoikeuden vähintään suojauksen katseluohjelmassa.
Jos haluat tehdä muutoksia Muokkaa ilmoitusten raja-arvoja -sivulla, tarvitset käyttöoikeuden vähintään suojauksen järjestelmänvalvojana.
Määritä ilmoitusten raja-arvot
Suosittelemme, että vaihdat ilmoitusten raja-arvot oletusarvosta (suuri) vasta huolellisen harkinnan jälkeen.
Jos sinulla on esimerkiksi NAT tai VPN, suosittelemme, että harkitset huolellisesti mahdollisia muutoksia asianmukaisiin tunnistukseen, mukaan lukien epäillyt DCSync-hyökkäys (hakemistopalvelujen replikointi) ja epäillyt identiteettivarkaustunnistuksia .
Voit määrittää ilmoitusten raja-arvot seuraavasti:
Siirry Microsoft Defender XDRkohtaan Asetukset>Käyttäjätiedot>Säädä ilmoitusten raja-arvoja.
Etsi ilmoitus, jossa haluat säätää ilmoituksen raja-arvoa, ja valitse käytettävä raja-arvo.
- Suuri on oletusarvo, ja se käyttää vakiokynnysarvoja false-positiivisten vähennysten vähentämiseksi.
- Keski- ja matalat raja-arvot lisäävät Defenderin luomien ilmoitusten määrää käyttäjätiedoilla.
Kun valitset Normaali tai Pieni, tiedot lihavoidtaan Tiedot-sarakkeessa , jotta ymmärrät, miten muutos vaikuttaa ilmoituksen toimintaan.
Tallenna muutokset valitsemalla Käytä muutoksia .
Valitse Palauta oletusasetukseen ja sitten Ota muutokset käyttöön , jos haluat palauttaa kaikki ilmoitukset oletuskynnysarvoon (Suuri). Oletusasetuksen palauttamista ei voi peruuttaa, ja kaikki raja-arvoihin tehdyt muutokset menetetään.
Vaihda testitilaan
Suositeltu testitila -vaihtoehto on suunniteltu ymmärtämään kaikki Defender for Identity -hälytykset, mukaan lukien lailliseen liikenteeseen ja toimintoihin liittyvät tiedot, jotta voit arvioida Defender for Identityn perusteellisesti mahdollisimman tehokkaasti.
Jos olet äskettäin ottanut käyttöön Defender for Identityn ja haluat testata sitä, valitse Suositeltu testitila - vaihtoehto, jos haluat vaihtaa kaikki hälytyskynnysarvot pieniksi ja lisätä käynnistettyjen ilmoitusten määrää.
Raja-arvotasot ovat vain luku -tilassa, kun Suositeltu testitila -asetus on valittuna. Kun testaus on valmis, palauta edelliset asetukset poistamalla Suositeltu testitila -asetus käytöstä.
Tallenna muutokset valitsemalla Käytä muutoksia .
Tuetut tunnistuksia raja-arvomäärityksille
Seuraavassa taulukossa kuvataan tunnistustyypit, jotka tukevat kynnystasojen säätöjä, mukaan lukien Keski- ja Matala-raja-arvojen vaikutukset.
N/A-merkinnällä merkityt solut ilmaisevat, että raja-arvoa ei tueta tunnistukseen
| Löytäminen | Normaali | Matala |
|---|---|---|
| Suojauksen päänimen tiedustelu (LDAP) | Kun asetuksena on Medium, tämä tunnistus käynnistää hälytykset välittömästi odottamatta oppimisjaksoa. Lisäksi se poistaa käytöstä suosittujen kyselyiden suodatuksen ympäristössä. | Kun asetuksena on Pieni, kaikki Normaali-raja-arvon tuki on voimassa sekä kyselyiden, yhden vaikutusalueen luetteloinnin ja paljon muuta. |
| Epäilyttäviä lisäyksiä luottamuksellisiin ryhmiin | N/A | Kun asetuksena on Pieni, tämä tunnistus välttää liukuvan ikkunan ja jättää huomiotta aiemmat oppimiset. |
| Epäilty AD FS DKM -avain luettu | N/A | Kun asetuksena on Pieni, tämä tunnistus käynnistyy heti odottamatta oppimisjaksoa. |
| Epäilty Brute Forcen hyökkäys (Kerberos, NTLM) | Kun asetuksena on Medium, tämä tunnistaminen ohittaa kaikki suoritetut oppimiset, ja sen epäonnistuneiden salasanojen raja-arvo on pienempi. | Kun asetuksena on Pieni, tämä tunnistus jättää tekemättä kaikki suoritetut oppimiset, ja sillä on pienin mahdollinen epäonnistuneiden salasanojen raja-arvo. |
| Epäilty DCSync-hyökkäys (hakemistopalvelujen replikointi) | Kun asetuksena on Medium, tämä tunnistus käynnistyy heti odottamatta oppimisjaksoa. | Kun asetuksena on Matala, tämä tunnistus käynnistyy heti odottelematta oppimisjaksoa ja välttää IP-suodatuksen, kuten NAT tai VPN. |
| Epäilty Golden Ticket -käyttö (taotut valtuutustiedot) | N/A | Kun asetuksena on Pieni, tämä tunnistus käynnistyy heti odottamatta oppimisjaksoa. |
| Epäilty Golden Ticket -käyttö (salauksen alentaminen) | N/A | Kun asetuksena on Alhainen, tämä tunnistaminen käynnistää hälytyksen laitteen alhaisemman luotettavuuden tarkkuuden perusteella. |
| Epäilty identiteettivarkaus (lipun läpäiseminen) | N/A | Kun asetuksena on Matala, tämä tunnistus käynnistyy heti odottelematta oppimisjaksoa ja välttää IP-suodatuksen, kuten NAT tai VPN. |
| Käyttäjien ja ryhmien jäsenyyksien tiedustelu (SAMR) | Kun asetuksena on Medium, tämä tunnistus käynnistyy heti odottamatta oppimisjaksoa. | Kun asetuksena on Alhainen, tämä tunnistus käynnistyy heti ja sisältää alemman ilmoituksen raja-arvon. |
Lisätietoja on artikkelissa Microsoft Defender for Identity suojausilmoitukset.
Seuraavat vaiheet
Lisätietoja on artikkelissa Tutki Defender for Identityn suojaushälytyksiä Microsoft Defender XDR.