Ajustar limiares de alerta
Este artigo descreve como configurar o número de falsos positivos ao ajustar os limiares para alertas de Microsoft Defender para Identidade específicos.
Alguns alertas do Defender para Identidade dependem de períodos de aprendizagem para criar um perfil de padrões e, em seguida, distinguir entre atividades legítimas e suspeitas. Cada alerta também tem condições específicas na lógica de deteção para ajudar a distinguir entre atividades legítimas e suspeitas, como limiares de alertas e filtragem para atividades populares.
Utilize a página Ajustar limiares de alertas para personalizar o nível de limiar para alertas específicos para influenciar o volume de alertas. Por exemplo, se estiver a executar testes abrangentes, poderá querer reduzir os limiares de alerta para acionar o maior número possível de alertas.
Os alertas são sempre acionados imediatamente se a opção Modo de teste recomendado estiver selecionada ou se um nível de limiar estiver definido como Médio ou Baixo, independentemente de o período de aprendizagem do alerta já ter sido concluído.
Nota
A página Ajustar limiares de alerta era anteriormente denominada Definições avançadas. Para obter detalhes sobre esta transição e como as definições anteriores foram mantidas, veja o nosso anúncio Novidades.
Pré-requisitos
Para ver a página Ajustar limiares de alertas no Microsoft Defender XDR, precisa de acesso, pelo menos, como visualizador de Segurança.
Para efetuar alterações na página Ajustar limiares de alertas , precisa de acesso, pelo menos, como administrador de Segurança.
Definir limiares de alerta
Recomendamos que altere os limiares de alerta da predefinição (Alta) apenas após cuidadosa consideração.
Por exemplo, se tiver NAT ou VPN, recomendamos que considere cuidadosamente quaisquer alterações às deteções relevantes, incluindo ataque DCSync Suspeito (replicação de serviços de diretório) e Deteções suspeitas de roubo de identidade .
Para definir os limiares de alerta:
No Microsoft Defender XDR, aceda a Definições Identidades> Ajustarlimiares> dealerta.
Localize o alerta onde pretende ajustar o limiar do alerta e selecione o nível de limiar que pretende aplicar.
- Alto é o valor predefinido e aplica limiares padrão para reduzir falsos positivos.
- Os limiares Médio e Baixo aumentam o número de alertas gerados pelo Defender para Identidade.
Quando seleciona Médio ou Baixo, os detalhes são a negrito na coluna Informações para o ajudar a compreender como a alteração afeta o comportamento do alerta.
Selecione Aplicar alterações para guardar as alterações.
Selecione Reverter para predefinição e, em seguida , Aplicar alterações para repor todos os alertas para o limiar predefinido (Alto). Reverter para a predefinição é irreversível e quaisquer alterações efetuadas aos níveis de limiar são perdidas.
Mudar para o modo de teste
A opção Modo de teste recomendado foi concebida para o ajudar a compreender todos os alertas do Defender para Identidade, incluindo alguns relacionados com tráfego legítimo e atividades para que possa avaliar exaustivamente o Defender para Identidade da forma mais eficiente possível.
Se implementou recentemente o Defender para Identidade e pretende testá-lo, selecione a opção Modo de teste recomendado para mudar todos os limiares de alerta para Baixo e aumentar o número de alertas acionados.
Os níveis de limiar são só de leitura quando a opção Modo de teste recomendado está selecionada. Quando terminar o teste, ative novamente a opção Modo de teste recomendado para regressar às definições anteriores.
Selecione Aplicar alterações para guardar as alterações.
Deteções suportadas para configurações de limiar
A tabela seguinte descreve os tipos de deteções que suportam ajustes para níveis de limiar, incluindo os efeitos dos limiares Médio e Baixo .
As células marcadas com N/D indicam que o nível de limiar não é suportado para a deteção
| Deteção | Média | Baixo |
|---|---|---|
| Reconhecimento do principal de segurança (LDAP) | Quando definida como Média, esta deteção aciona alertas imediatamente, sem aguardar um período de aprendizagem, e também desativa qualquer filtragem para consultas populares no ambiente. | Quando definido como Baixo, aplica-se todo o suporte para o limiar Médio , além de um limiar mais baixo para consultas, enumeração de âmbito único e muito mais. |
| Adições suspeitas a grupos confidenciais | N/D | Quando definida como Baixa, esta deteção evita a janela deslizante e ignora quaisquer aprendizagens anteriores. |
| Suspeita de leitura da chave DKM do AD FS | N/D | Quando definida como Baixa, esta deteção é acionada imediatamente, sem esperar por um período de aprendizagem. |
| Suspeita de ataque de Força Bruta (Kerberos, NTLM) | Quando definida como Média, esta deteção ignora qualquer aprendizagem realizada e tem um limiar mais baixo para palavras-passe falhadas. | Quando definida como Baixa, esta deteção ignora qualquer aprendizagem realizada e tem o limiar mais baixo possível para palavras-passe falhadas. |
| Ataque DCSync suspeito (replicação de serviços de diretório) | Quando definida como Média, esta deteção é acionada imediatamente, sem aguardar um período de aprendizagem. | Quando definida como Baixa, esta deteção é acionada imediatamente, sem aguardar um período de aprendizagem, e evita a filtragem de IP como NAT ou VPN. |
| Utilização suspeita de Permissão Dourada (dados de autorização falsificados) | N/D | Quando definida como Baixa, esta deteção é acionada imediatamente, sem esperar por um período de aprendizagem. |
| Utilização suspeita de Permissão Dourada (mudança para uma versão anterior da encriptação) | N/D | Quando definida como Baixa, esta deteção aciona um alerta com base na menor resolução de confiança de um dispositivo. |
| Suspeita de roubo de identidade (passagem da permissão) | N/D | Quando definida como Baixa, esta deteção é acionada imediatamente, sem aguardar um período de aprendizagem, e evita a filtragem de IP como NAT ou VPN. |
| Reconhecimento de associação de utilizadores e grupos (SAMR) | Quando definida como Média, esta deteção é acionada imediatamente, sem aguardar um período de aprendizagem. | Quando definida como Baixa, esta deteção é acionada imediatamente e inclui um limiar de alerta mais baixo. |
Para obter mais informações, veja Alertas de segurança no Microsoft Defender para Identidade.
Passo seguinte
Para obter mais informações, veja Investigar alertas de segurança do Defender para Identidade no Microsoft Defender XDR.