调整警报阈值

项目
01/07/2025

本文介绍如何通过调整特定Microsoft Defender for Identity警报的阈值来配置误报数。

某些 Defender for Identity 警报依赖于 学习时段 来构建模式配置文件，然后区分合法活动和可疑活动。每个警报还在检测逻辑中具有特定条件，以帮助区分合法和可疑活动，例如警报阈值和常用活动的筛选。

使用“ 调整警报阈值 ”页可自定义特定警报的阈值级别，以影响其警报量。例如，如果要运行综合测试，可能需要降低警报阈值以触发尽可能多的警报。

如果选择了 “建议的测试模式 ”选项，或者阈值级别设置为 “中等 ”或“ 低”，则始终会立即触发警报，而不管警报的学习周期是否已完成。

注意

“ 调整警报阈值 ”页以前名为“ 高级设置”。有关此转换以及如何保留任何以前的设置的详细信息，请参阅新增功能公告。

先决条件

若要查看 Microsoft Defender XDR 中的“调整警报阈值”页，至少需要以安全查看器身份进行访问。

若要在 “调整警报阈值 ”页上进行更改，至少需要以 安全管理员身份访问。

定义警报阈值

建议仅在仔细考虑后，才从默认 (高) 更改警报阈值。

例如，如果你有 NAT 或 VPN，建议仔细考虑对相关检测的任何更改，包括 可疑 DCSync 攻击 (复制目录服务) 和 可疑的标识盗窃 检测。

若要定义警报阈值，请执行以下操作：

在Microsoft Defender XDR中，转到“设置>标识>调整警报阈值”。
找到要调整警报阈值的警报，然后选择要应用的阈值级别。
- 高是默认值，应用标准阈值以减少误报。
- 中阈值和低阈值会增加 Defender for Identity 生成的警报数。
选择“ 中等 ”或“ 低”时，详细信息在 “信息 ”列中加粗，以帮助你了解更改如何影响警报行为。
选择“ 应用更改 ”以保存更改。

选择“ 还原为默认值 ”，然后选择 “应用更改 ”，将所有警报重置为默认阈值 (“高) ”。还原为默认值是不可逆的，并且对阈值级别所做的任何更改都将丢失。

切换到测试模式

建议的测试模式选项旨在帮助你了解所有 Defender for Identity 警报，包括一些与合法流量和活动相关的警报，以便你可以尽可能高效地全面评估 Defender for Identity。

如果最近部署了 Defender for Identity 并想要对其进行测试，请选择“ 建议的测试模式 ”选项，将所有警报阈值切换为 “低 ”，并增加触发的警报数。

选择 “建议的测试模式 ”选项时，阈值级别为只读。完成测试后，将 “建议的测试模式 ”选项切换回原来的设置。

选择“ 应用更改 ”以保存更改。

阈值配置支持的检测

下表描述了支持阈值级别调整的检测类型，包括 “中” 和“ 低 ”阈值的影响。

标记为 N/A 的单元格指示检测不支持阈值级别

检测	Medium	低
安全主体侦查 (LDAP)	设置为 “中等”时，此检测会立即触发警报，而无需等待学习期，并且还会禁用环境中常用查询的任何筛选。	设置为 “低”时，将应用对 “中等 ”阈值的所有支持，并且对查询、单一范围枚举等应用较低的阈值。
对敏感组的可疑添加	不适用	设置为 “低”时，此检测会避免滑动窗口，并忽略之前的任何学习。
可疑的 AD FS DKM 密钥读取	不适用	设置为 “低”时，此检测会立即触发，无需等待学习期。
疑似暴力攻击 (Kerberos、NTLM)	当设置为 “中等”时，此检测会忽略完成的任何学习，并降低失败密码的阈值。	当设置为 “低”时，此检测将忽略完成的任何学习，并且具有失败密码的最低阈值。
可疑的 DCSync 攻击 (复制目录服务)	设置为 “中”时，此检测会立即触发，无需等待学习期。	设置为 “低”时，此检测会立即触发，无需等待学习期，并避免 NAT 或 VPN 等 IP 筛选。
可疑的黄金票证使用情况 (伪造的授权数据)	不适用	设置为 “低”时，此检测会立即触发，无需等待学习期。
可疑的黄金票证使用情况 (加密降级)	不适用	设置为 “低”时，此检测会根据设备的置信度分辨率较低触发警报。
疑似身份盗用 (票证)	不适用	设置为 “低”时，此检测会立即触发，无需等待学习期，并避免 NAT 或 VPN 等 IP 筛选。
用户和组成员身份侦查 (SAMR)	设置为 “中”时，此检测会立即触发，无需等待学习期。	设置为 “低”时，此检测会立即触发，并包含较低的警报阈值。

有关详细信息，请参阅 Microsoft Defender for Identity 中的安全警报。

后续步骤

有关详细信息，请参阅调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。

通过