アラートのしきい値を調整する
この記事では、特定のMicrosoft Defender for Identityアラートのしきい値を調整して、誤検知の数を構成する方法について説明します。
一部の Defender for Identity アラートは 、学習期間 に依存してパターンのプロファイルを構築し、正当なアクティビティと疑わしいアクティビティを区別します。 また、各アラートには、検出ロジック内に特定の条件があり、アラートのしきい値や一般的なアクティビティのフィルター処理など、正当なアクティビティと疑わしいアクティビティを区別するのに役立ちます。
[アラートのしきい値の調整] ページを使用して、アラートボリュームに影響を与える特定のアラートのしきい値レベルをカスタマイズします。 たとえば、包括的なテストを実行している場合は、アラートのしきい値を下げて、できるだけ多くのアラートをトリガーできます。
アラートは、アラートの学習期間が既に完了しているかどうかに関係なく、[ 推奨テスト モード ] オプションが選択されている場合、またはしきい値レベルが [中] または [ 低] に設定されている場合、常にすぐにトリガーされます。
注:
[ アラートのしきい値の調整] ページは 、以前に [詳細設定] という名前でした。 この移行と以前の設定の保持方法の詳細については、 新機能に関するお知らせを参照してください。
前提条件
Microsoft Defender XDRの [アラートのしきい値の調整] ページを表示するには、少なくともセキュリティ ビューアーとしてアクセスする必要があります。
[アラートのしきい値の調整] ページで変更を行うには、少なくともセキュリティ管理者としてアクセスする必要があります。
アラートのしきい値を定義する
注意深く検討した後でのみ、アラートのしきい値を既定 (高) から変更することをお勧めします。
たとえば、NAT または VPN がある場合は、 DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) や ID 盗難の疑 いなど、関連する検出に対する変更を慎重に検討することをお勧めします。
アラートのしきい値を定義するには:
Microsoft Defender XDRで、[設定>Identities>アラートのしきい値を調整する] に移動します。
![新しい [アラートのしきい値の調整] ページのスクリーンショット。](media/whats-new/adjust-alert-thresholds.png)
アラートのしきい値を調整するアラートを見つけ、適用するしきい値レベルを選択します。
- High は既定値で、標準のしきい値を適用して誤検知を減らします。
- 中 しきい値と 低 しきい値は、Defender for Identity によって生成されるアラートの数を増やします。
[中] または [低] を選択すると、[情報] 列に詳細が太字で表示され、変更がアラートの動作にどのように影響するかを理解するのに役立ちます。
[ 変更の適用] を選択して変更を保存します。
![新しい [アラートのしきい値の調整] ページのスクリーンショット。](media/whats-new/adjust-alert-thresholds.png#lightbox)
[ 既定に戻す ] を選択し、[ 変更を適用 ] を選択して、すべてのアラートを既定のしきい値 (高) にリセットします。 既定値に戻す操作は元に戻すことができません。しきい値レベルに加えられた変更はすべて失われます。
テスト モードに切り替える
[推奨されるテスト モード] オプションは、Defender for Identity をできるだけ効率的に評価できるように、正当なトラフィックとアクティビティに関連するアラートを含むすべての Defender for Identity アラートを理解するのに役立ちます。
Defender for Identity を最近デプロイしてテストする場合は、[ 推奨テスト モード ] オプションを選択して、すべてのアラートしきい値を [低 ] に切り替え、トリガーされるアラートの数を増やします。
[ 推奨テスト モード ] オプションが選択されている場合、しきい値レベルは読み取り専用です。 テストが完了したら、[ 推奨テスト モード ] オプションをオフに切り替えて、以前の設定に戻ります。
[ 変更の適用] を選択して変更を保存します。
しきい値構成でサポートされている検出
次の表では、 中 しきい値と 低 しきい値の影響など、しきい値レベルの調整をサポートする検出の種類について説明します。
N/A でマークされたセルは、しきい値レベルが検出に対してサポートされていないことを示します
| 検出 | 中 | 低 |
|---|---|---|
| セキュリティ プリンシパル偵察 (LDAP) | [中] に設定すると、この検出により、学習期間を待たずにアラートがすぐにトリガーされ、環境内で一般的なクエリのフィルター処理も無効になります。 | [低] に設定すると、中しきい値のすべてのサポートに加えて、クエリ、単一スコープ列挙などのしきい値が低くなります。 |
| 機密性の高いグループへの疑わしい追加 | 該当なし | [低] に設定すると、この検出によってスライディング ウィンドウが回避され、以前の学習はすべて無視されます。 |
| AD FS DKM キーの読み取りが疑われる | 該当なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 |
| ブルート フォース攻撃の疑い (Kerberos、NTLM) | [中] に設定すると、この検出は完了した学習を無視し、失敗したパスワードのしきい値が低くなります。 | [低] に設定すると、この検出では、完了した学習が無視され、失敗したパスワードのしきい値が最も低くなります。 |
| DCSync 攻撃の疑い (ディレクトリ サービスのレプリケーション) | [中] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされ、NAT や VPN などの IP フィルタリングを回避します。 |
| ゴールデン チケットの使用状況の疑い (偽造された承認データ) | 該当なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 |
| ゴールデン チケットの使用の疑い (暗号化のダウングレード) | 該当なし | [低] に設定すると、この検出により、デバイスの信頼度の低い解決に基づいてアラートがトリガーされます。 |
| ID の盗難の疑い (チケットを渡す) | 該当なし | [低] に設定すると、この検出は学習期間を待たずにすぐにトリガーされ、NAT や VPN などの IP フィルタリングを回避します。 |
| ユーザーおよびグループ メンバーシップ偵察 (SAMR) | [中] に設定すると、この検出は学習期間を待たずにすぐにトリガーされます。 | [低] に設定すると、この検出はすぐにトリガーされ、より低いアラートしきい値が含まれます。 |
詳細については、「Microsoft Defender for Identityのセキュリティ アラート」を参照してください。
次の手順
詳細については、「Microsoft Defender XDRでの Defender for Identity セキュリティ アラートの調査」を参照してください。