Delen via

Waarschuwingsdrempels aanpassen

  • Artikel

In dit artikel wordt beschreven hoe u het aantal fout-positieven configureert door drempelwaarden voor specifieke Microsoft Defender for Identity waarschuwingen aan te passen.

Sommige Defender for Identity-waarschuwingen zijn afhankelijk van leerperioden om een profiel van patronen op te bouwen en vervolgens onderscheid te maken tussen legitieme en verdachte activiteiten. Elke waarschuwing heeft ook specifieke voorwaarden binnen de detectielogica om onderscheid te maken tussen legitieme en verdachte activiteiten, zoals waarschuwingsdrempels en filteren op populaire activiteiten.

Gebruik de pagina Waarschuwingsdrempels aanpassen om het drempelwaardeniveau voor specifieke waarschuwingen aan te passen om het waarschuwingsvolume te beïnvloeden. Als u bijvoorbeeld uitgebreide tests uitvoert, wilt u mogelijk de drempelwaarden voor waarschuwingen verlagen om zoveel mogelijk waarschuwingen te activeren.

Waarschuwingen worden altijd onmiddellijk geactiveerd als de optie Aanbevolen testmodus is geselecteerd of als een drempelwaarde is ingesteld op Gemiddeld of Laag, ongeacht of de leerperiode van de waarschuwing al is voltooid.

Opmerking

De pagina Waarschuwingsdrempels aanpassen heette voorheen Geavanceerde instellingen. Zie de aankondiging Wat is er nieuw voor meer informatie over deze overgang en hoe eerdere instellingen zijn behouden.

Vereisten

Als u de pagina Drempelwaarden voor waarschuwingen aanpassen in Microsoft Defender XDR wilt weergeven, hebt u ten minste toegang nodig als beveiligingsviewer.

Als u wijzigingen wilt aanbrengen op de pagina Drempelwaarden voor waarschuwingen aanpassen , hebt u ten minste toegang nodig als beveiligingsbeheerder.

Waarschuwingsdrempels definiëren

We raden u aan om waarschuwingsdrempels alleen na zorgvuldige overweging te wijzigen van de standaardwaarde (Hoog).

Als u bijvoorbeeld NAT of VPN hebt, raden we u aan om wijzigingen in relevante detecties zorgvuldig te overwegen, inclusief verdachte DCSync-aanval (replicatie van adreslijstservices) en detecties van vermoedelijke identiteitsdiefstal .

Ga als volgende te werk om uw waarschuwingsdrempels te definiëren:

  1. Ga in Microsoft Defender XDR naar Instellingen>Identiteiten>Waarschuwingsdrempels aanpassen.

    Schermopname van de nieuwe pagina Waarschuwingsdrempels aanpassen.

  2. Zoek de waarschuwing waar u de waarschuwingsdrempel wilt aanpassen en selecteer het drempelwaardeniveau dat u wilt toepassen.

    • Hoog is de standaardwaarde en past standaarddrempelwaarden toe om fout-positieven te verminderen.
    • Gemiddelde en lage drempelwaarden verhogen het aantal waarschuwingen dat door Defender for Identity wordt gegenereerd.

    Wanneer u Gemiddeld of Laag selecteert, worden de details vetgedrukt in de kolom Informatie om u te helpen begrijpen hoe de wijziging het waarschuwingsgedrag beïnvloedt.

  3. Selecteer Wijzigingen toepassen om wijzigingen op te slaan.

Selecteer Standaardinstelling herstellen en vervolgens Wijzigingen toepassen om alle waarschuwingen opnieuw in te stellen op de standaarddrempelwaarde (Hoog). Het terugzetten naar de standaardinstelling is onomkeerbaar en eventuele wijzigingen in uw drempelwaarden gaan verloren.

Overschakelen naar testmodus

De optie Aanbevolen testmodus is ontworpen om u inzicht te geven in alle Defender for Identity-waarschuwingen, waaronder enkele met betrekking tot legitiem verkeer en activiteiten, zodat u Defender for Identity zo efficiënt mogelijk kunt evalueren.

Als u Defender for Identity onlangs hebt geïmplementeerd en deze wilt testen, selecteert u de optie Aanbevolen testmodus om alle waarschuwingsdrempels te wijzigen in Laag en het aantal geactiveerde waarschuwingen te verhogen.

Drempelwaarden zijn alleen-lezen wanneer de optie Aanbevolen testmodus is geselecteerd. Wanneer u klaar bent met testen, schakelt u de optie Aanbevolen testmodus weer uit om terug te keren naar uw vorige instellingen.

Selecteer Wijzigingen toepassen om wijzigingen op te slaan.

Ondersteunde detecties voor drempelwaardeconfiguraties

In de volgende tabel worden de typen detecties beschreven die aanpassingen voor drempelwaarden ondersteunen, inclusief de effecten van gemiddelde en lage drempelwaarden.

Cellen die zijn gemarkeerd met N/B geven aan dat het drempelwaardeniveau niet wordt ondersteund voor de detectie

Opsporing Gemiddeld Laag
LDAP (Security Principal Reconnaissance) Wanneer deze optie is ingesteld op Normaal, worden met deze detectie onmiddellijk waarschuwingen geactiveerd, zonder te hoeven wachten op een leerperiode, en worden ook alle filters voor populaire query's in de omgeving uitgeschakeld. Wanneer deze optie is ingesteld op Laag, is alle ondersteuning voor de drempelwaarde Gemiddeld van toepassing, plus een lagere drempelwaarde voor query's, opsomming met één bereik en meer.
Verdachte toevoegingen aan gevoelige groepen N.v.t. Als deze optie is ingesteld op Laag, wordt het schuifvenster vermeden en worden eerdere lessen genegeerd. 
Vermoedelijke AD FS DKM-sleutel gelezen  N.v.t. Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd, zonder te wachten op een leerperiode. 
Vermoedelijke Brute Force-aanval (Kerberos, NTLM)  Wanneer deze optie is ingesteld op Normaal, wordt met deze detectie geen kennis uitgevoerd en is de drempelwaarde voor mislukte wachtwoorden lager.  Wanneer deze optie is ingesteld op Laag, negeert deze detectie alle leerervaringen en heeft deze de laagst mogelijke drempelwaarde voor mislukte wachtwoorden. 
Vermoedelijke DCSync-aanval (replicatie van directoryservices)  Wanneer deze optie is ingesteld op Gemiddeld, wordt deze detectie onmiddellijk geactiveerd, zonder dat u hoeft te wachten op een leerperiode.  Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd, zonder te wachten op een leerperiode en wordt IP-filtering zoals NAT of VPN voorkomen. 
Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens)  N.v.t. Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd, zonder te wachten op een leerperiode. 
Verdacht golden ticketgebruik (downgrade van versleuteling)  N.v.t. Wanneer deze optie is ingesteld op Laag, wordt met deze detectie een waarschuwing geactiveerd op basis van een lagere betrouwbaarheidsresolutie van een apparaat. 
Vermoedelijke identiteitsdiefstal (pass-the-ticket)  N.v.t. Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd, zonder te wachten op een leerperiode en wordt IP-filtering zoals NAT of VPN voorkomen. 
Verkenning van gebruikers- en groepslidmaatschap (SAMR)  Wanneer deze optie is ingesteld op Gemiddeld, wordt deze detectie onmiddellijk geactiveerd, zonder dat u hoeft te wachten op een leerperiode.  Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd en wordt er een lagere drempelwaarde voor waarschuwingen weergegeven. 

Zie Beveiligingswaarschuwingen in Microsoft Defender for Identity voor meer informatie.

Volgende stap

Zie Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.