Dela via

Justera tröskelvärden för aviseringar

  • Artikel

Den här artikeln beskriver hur du konfigurerar antalet falska positiva identifieringar genom att justera tröskelvärden för specifika Microsoft Defender for Identity aviseringar.

Vissa Defender for Identity-aviseringar förlitar sig på inlärningsperioder för att skapa en profil av mönster och sedan skilja mellan legitima och misstänkta aktiviteter. Varje avisering har också specifika villkor inom identifieringslogik för att skilja mellan legitima och misstänkta aktiviteter, till exempel tröskelvärden för aviseringar och filtrering för populära aktiviteter.

Använd sidan Justera tröskelvärden för aviseringar för att anpassa tröskelvärdet för specifika aviseringar för att påverka deras aviseringsvolym. Om du till exempel kör omfattande testning kanske du vill sänka tröskelvärdena för aviseringar för att utlösa så många aviseringar som möjligt.

Aviseringar utlöses alltid omedelbart om alternativet Rekommenderat testläge har valts, eller om en tröskelvärdesnivå är inställd på Medel eller Låg, oavsett om aviseringens inlärningsperiod redan har slutförts.

Obs!

Sidan Justera tröskelvärden för aviseringar hette tidigare Avancerade inställningar. Mer information om den här övergången och hur tidigare inställningar bevarades finns i meddelandet Nyheter.

Förhandskrav

Om du vill visa sidan Justera tröskelvärden för aviseringar i Microsoft Defender XDR behöver du åtkomst minst som säkerhetsgranskare.

Om du vill göra ändringar på sidan Justera tröskelvärden för aviseringar behöver du åtkomst minst som säkerhetsadministratör.

Definiera tröskelvärden för aviseringar

Vi rekommenderar att du ändrar tröskelvärdena för aviseringar från standardvärdet (Hög) först efter noggrant övervägande.

Om du till exempel har NAT eller VPN rekommenderar vi att du överväger eventuella ändringar av relevanta identifieringar noggrant, inklusive misstänkt DCSync-attack (replikering av katalogtjänster) och identifiering av misstänkt identitetsstöld .

Så här definierar du tröskelvärdena för aviseringar:

  1. I Microsoft Defender XDR går du till Inställningar>Identiteter>Justera tröskelvärden för aviseringar.

    Skärmbild av den nya sidan Justera tröskelvärden för aviseringar.

  2. Leta upp den avisering där du vill justera aviseringströskeln och välj den tröskelnivå som du vill tillämpa.

    • Hög är standardvärdet och tillämpar standardtrösklar för att minska falska positiva identifieringar.
    • Med medelhöga och låga tröskelvärden ökar antalet aviseringar som genereras av Defender för identitet.

    När du väljer Medel eller Låg visas information i fetstil i kolumnen Information som hjälper dig att förstå hur ändringen påverkar aviseringsbeteendet.

  3. Välj Tillämpa ändringar för att spara ändringarna.

Välj Återgå till standard och sedan Tillämpa ändringar för att återställa alla aviseringar till standardtröskelvärdet (hög). Det går inte att återställa till standardvärdet och alla ändringar som görs i tröskelvärdena går förlorade.

Växla till testläge

Alternativet Rekommenderat testläge är utformat för att hjälpa dig att förstå alla Defender for Identity-aviseringar, inklusive vissa relaterade till legitim trafik och aktiviteter så att du kan utvärdera Defender for Identity så effektivt som möjligt.

Om du nyligen har distribuerat Defender for Identity och vill testa det väljer du alternativet Rekommenderat testläge för att växla alla tröskelvärden för aviseringar till Lågt och öka antalet utlösta aviseringar.

Tröskelvärdena är skrivskyddade när alternativet Rekommenderat testläge väljs. När du är klar med testningen växlar du alternativet Rekommenderat testläge tillbaka för att återgå till dina tidigare inställningar.

Välj Tillämpa ändringar för att spara ändringarna.

Identifieringar som stöds för tröskelkonfigurationer

I följande tabell beskrivs de typer av identifieringar som stöder justeringar för tröskelvärden, inklusive effekterna av tröskelvärden på medel och låg nivå.

Celler markerade med N/A anger att tröskelvärdet inte stöds för identifieringen

Upptäckt Medel Låg
Rekognosering av säkerhetsobjekt (LDAP) När den här identifieringen är inställd på Medel utlöser den aviseringar omedelbart, utan att vänta på en inlärningsperiod, och inaktiverar även filtrering för populära frågor i miljön. När värdet är Låg gäller allt stöd för tröskelvärdet Medel , plus ett lägre tröskelvärde för frågor, uppräkning med ett enda omfång med mera.
Misstänkta tillägg till känsliga grupper EJ TILLÄMPLIGT När värdet är Låg undviker den här identifieringen skjutfönstret och ignorerar alla tidigare lärdomar. 
Misstänkt AD FS DKM-nyckel läst  EJ TILLÄMPLIGT När värdet är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. 
Misstänkt brute force-attack (Kerberos, NTLM)  När den här identifieringen är inställd på Medel ignoreras all inlärning som görs och har ett lägre tröskelvärde för misslyckade lösenord.  När den här identifieringen är inställd på Låg ignoreras all inlärning som görs och har lägsta möjliga tröskelvärde för misslyckade lösenord. 
Misstänkt DCSync-attack (replikering av katalogtjänster)  När den här identifieringen är inställd på Medel utlöses den omedelbart, utan att vänta på en inlärningsperiod.  När den här identifieringen är inställd på Låg utlöses den omedelbart utan att vänta på en inlärningsperiod och undviker IP-filtrering som NAT eller VPN. 
Misstänkt golden ticket-användning (förfalskade auktoriseringsdata)  EJ TILLÄMPLIGT När värdet är Låg utlöses den här identifieringen omedelbart, utan att vänta på en inlärningsperiod. 
Misstänkt golden ticket-användning (nedgradering av kryptering)  EJ TILLÄMPLIGT När den här identifieringen är inställd på Låg utlöser den en avisering baserat på lägre konfidensmatchning för en enhet. 
Misstänkt identitetsstöld (pass-the-ticket)  EJ TILLÄMPLIGT När den här identifieringen är inställd på Låg utlöses den omedelbart utan att vänta på en inlärningsperiod och undviker IP-filtrering som NAT eller VPN. 
Rekognosering av användar- och gruppmedlemskap (SAMR)  När den här identifieringen är inställd på Medel utlöses den omedelbart, utan att vänta på en inlärningsperiod.  När värdet är Låg utlöses den här identifieringen omedelbart och innehåller ett lägre tröskelvärde för aviseringar. 

Mer information finns i Säkerhetsaviseringar i Microsoft Defender for Identity.

Nästa steg

Mer information finns i Undersöka säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.