Настройка пороговых значений оповещений
В этой статье описывается настройка количества ложноположительных результатов путем настройки пороговых значений для определенных оповещений Microsoft Defender для удостоверений.
Некоторые оповещения Defender для удостоверений используют периоды обучения для создания профиля шаблонов, а затем различают допустимые и подозрительные действия. Каждое оповещение также имеет определенные условия в логике обнаружения, помогающие различать допустимые и подозрительные действия, такие как пороговые значения оповещений и фильтрация для популярных действий.
Используйте страницу Настройка пороговых значений оповещений , чтобы настроить пороговый уровень для конкретных оповещений, чтобы повлиять на их объем оповещений. Например, при выполнении комплексного тестирования может потребоваться снизить пороговые значения оповещений, чтобы активировать как можно больше оповещений.
Оповещения всегда активируются немедленно, если выбран параметр Рекомендуемый тестовый режим или если для порогового уровня задано значение Средний или Низкий, независимо от того, завершен ли период обучения оповещения.
Примечание.
Страница Настройка пороговых значений оповещений ранее называлась Расширенные параметры. Дополнительные сведения об этом переходе и сохранении предыдущих параметров см. в объявлении о новых возможностях.
Предварительные условия
Чтобы просмотреть страницу Настройка пороговых значений оповещений в Microsoft Defender XDR, вам нужен доступ по крайней мере в качестве средства просмотра безопасности.
Чтобы внести изменения на странице Настройка пороговых значений оповещений , вам потребуется доступ по крайней мере от имени администратора безопасности.
Определение пороговых значений оповещений
Рекомендуется изменять пороговые значения оповещений по умолчанию (высокий) только после тщательного рассмотрения.
Например, если у вас есть NAT или VPN, мы рекомендуем тщательно рассмотреть любые изменения в соответствующих обнаружениях, включая предполагаемую атаку DCSync (репликацию служб каталогов) и обнаружение предполагаемой кражи удостоверений .
Чтобы определить пороговые значения оповещений, выполните следующие действия.
В Microsoft Defender XDR перейдите в раздел Параметры>Удостоверения>Настройка пороговых значений оповещений.
Найдите оповещение, в котором нужно настроить пороговое значение оповещения, и выберите уровень порога, который требуется применить.
- Высокий является значением по умолчанию и применяет стандартные пороговые значения для уменьшения ложноположительных результатов.
- Средние и низкие пороговые значения увеличивают количество оповещений, создаваемых Defender для удостоверений.
При выборе среднего или нижнего значения в столбце Сведения выделены сведения, которые помогут вам понять, как изменение влияет на поведение оповещений.
Выберите Применить изменения , чтобы сохранить изменения.
Выберите Вернуться к умолчанию , а затем — Применить изменения , чтобы сбросить все оповещения до порогового значения по умолчанию (высокий). Возврат к умолчанию необратим, и все изменения, внесенные в пороговые уровни, теряются.
Переключение в тестовый режим
Параметр Рекомендуемый тестовый режим предназначен для понимания всех оповещений Defender для удостоверений, включая некоторые из них, связанные с допустимым трафиком и действиями, чтобы вы могли максимально эффективно оценить Defender для удостоверений.
Если вы недавно развернули Defender для удостоверений и хотите протестировать его, выберите параметр Рекомендуемый тестовый режим , чтобы переключить все пороговые значения оповещений на Низкий и увеличить количество активированных оповещений.
Пороговые уровни доступны только для чтения, если выбран параметр Рекомендуемый тестовый режим . Завершив тестирование, снова отключите параметр Рекомендуемый тестовый режим , чтобы вернуться к предыдущим параметрам.
Выберите Применить изменения , чтобы сохранить изменения.
Поддерживаемые обнаружения для конфигураций пороговых значений
В следующей таблице описаны типы обнаружения, поддерживающие корректировку пороговых уровней, включая влияние средних и низких пороговых значений.
Ячейки, помеченные как Н/Д, указывают на то, что пороговый уровень не поддерживается для обнаружения.
| Обнаружение | Средний | Низкий |
|---|---|---|
| Разведывательная разведка субъекта безопасности (LDAP) | Если задано значение Средний, это обнаружение немедленно активирует оповещения, не дожидаясь периода обучения, а также отключает фильтрацию для популярных запросов в среде. | Если задано значение Low, применяется вся поддержка среднего порогового значения, а также более низкое пороговое значение для запросов, одно область перечисление и многое другое. |
| Подозрительные добавления в конфиденциальные группы | Н/Д | Если задано значение Low, это обнаружение позволяет избежать скользящего окна и игнорировать все предыдущие знания. |
| Предполагаемое чтение ключа DKM AD FS | Н/Д | Если задано значение Low, это обнаружение активируется немедленно, не дожидаясь периода обучения. |
| Предполагаемая атака методом подбора (Kerberos, NTLM) | Если задано значение Средний, это обнаружение игнорирует любое обучение и имеет более низкое пороговое значение для неудачных паролей. | Если задано значение Low, это обнаружение игнорирует любое обучение и имеет наименьшее возможное пороговое значение для неудачных паролей. |
| Предполагаемая атака DCSync (репликация служб каталогов) | Если задано значение Средний, это обнаружение активируется немедленно, не дожидаясь периода обучения. | Если задано значение Low, это обнаружение активируется немедленно, не дожидаясь периода обучения, и позволяет избежать фильтрации IP-адресов, таких как NAT или VPN. |
| Предполагаемое использование Golden Ticket (поддельные данные авторизации) | Н/Д | Если задано значение Low, это обнаружение активируется немедленно, не дожидаясь периода обучения. |
| Предполагаемое использование Golden Ticket (понижение уровня шифрования) | Н/Д | Если задано значение Low, это обнаружение активирует оповещение на основе более низкого разрешения доверия устройства. |
| Подозрение на кражу удостоверений (pass-the-ticket) | Н/Д | Если задано значение Low, это обнаружение активируется немедленно, не дожидаясь периода обучения, и позволяет избежать фильтрации IP-адресов, таких как NAT или VPN. |
| Разведывательная разведка членства пользователей и групп (SAMR) | Если задано значение Средний, это обнаружение активируется немедленно, не дожидаясь периода обучения. | Если задано значение Low, это обнаружение активируется немедленно и включает более низкое пороговое значение оповещения. |
Дополнительные сведения см. в разделе Оповещения системы безопасности в Microsoft Defender для удостоверений.
Следующее действие
Дополнительные сведения см. в статье Изучение оповещений системы безопасности Defender для удостоверений в Microsoft Defender XDR.