مشاركة عبر

ضبط حدود التنبيه

  • مقالة

توضح هذه المقالة كيفية تكوين عدد الإيجابيات الخاطئة عن طريق ضبط الحدود لتنبيهات Microsoft Defender for Identity محددة.

تعتمد بعض تنبيهات Defender for Identity على فترات التعلم لإنشاء ملف تعريف للأنماط، ثم التمييز بين الأنشطة المشروعة والأنشطة المشبوهة. يحتوي كل تنبيه أيضا على شروط محددة ضمن منطق الكشف للمساعدة في التمييز بين الأنشطة المشروعة والمريبة، مثل حدود التنبيه والتصفية للأنشطة الشائعة.

استخدم صفحة ضبط حدود التنبيه لتخصيص مستوى الحد لتنبيهات معينة للتأثير على حجم التنبيه الخاص بها. على سبيل المثال، إذا كنت تقوم بإجراء اختبار شامل، فقد ترغب في خفض حدود التنبيه لتشغيل أكبر عدد ممكن من التنبيهات.

يتم تشغيل التنبيهات دائما على الفور إذا تم تحديد خيار وضع الاختبار الموصى به ، أو إذا تم تعيين مستوى حد إلى متوسط أو منخفض، بغض النظر عما إذا كانت فترة تعلم التنبيه قد اكتملت بالفعل.

ملاحظة

تمت تسمية صفحة ضبط حدود التنبيه مسبقا بالإعدادات المتقدمة. للحصول على تفاصيل حول هذا الانتقال وكيفية الاحتفاظ بأي إعدادات سابقة، راجع إعلان ما الجديد.

المتطلبات الأساسية

لعرض صفحة ضبط حدود التنبيهات في Microsoft Defender XDR، تحتاج إلى الوصول على الأقل كمشاهد أمان.

لإجراء تغييرات على صفحة ضبط حدود التنبيهات ، تحتاج إلى الوصول على الأقل كمسؤول أمان.

تحديد حدود التنبيه

نوصي بتغيير حدود التنبيه من الافتراضي (مرتفع) فقط بعد النظر بعناية.

على سبيل المثال، إذا كان لديك NAT أو VPN، نوصيك بمراعاة أي تغييرات على الاكتشافات ذات الصلة بعناية، بما في ذلك هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل) واكتشافات سرقة الهوية المشتبه بها .

لتحديد حدود التنبيه:

  1. في Microsoft Defender XDR، انتقل إلى الإعدادات>الهويات>ضبط حدود التنبيه.

    لقطة شاشة لصفحة ضبط حدود التنبيه الجديدة.

  2. حدد موقع التنبيه حيث تريد ضبط حد التنبيه وحدد مستوى الحد الذي تريد تطبيقه.

    • عالية هي القيمة الافتراضية، وتطبق الحدود القياسية لتقليل الإيجابيات الخاطئة.
    • تزيد الحدود المتوسطةوالمنخفضة من عدد التنبيهات التي تم إنشاؤها بواسطة Defender for Identity.

    عند تحديد متوسط أو منخفض، يتم غامق التفاصيل في عمود المعلومات لمساعدتك على فهم كيفية تأثير التغيير على سلوك التنبيه.

  3. حدد تطبيق التغييرات لحفظ التغييرات.

حدد العودة إلى الوضع الافتراضي ثم تطبيق التغييرات لإعادة تعيين جميع التنبيهات إلى الحد الافتراضي (مرتفع). يعد العودة إلى الوضع الافتراضي أمرا لا رجعة فيه ويتم فقدان أي تغييرات تم إجراؤها على مستويات الحد.

التبديل إلى وضع الاختبار

تم تصميم خيار وضع الاختبار الموصى به لمساعدتك على فهم جميع تنبيهات Defender for Identity، بما في ذلك بعض التنبيهات المتعلقة بنسبة استخدام الشبكة والأنشطة المشروعة بحيث يمكنك تقييم Defender for Identity بكفاءة قدر الإمكان.

إذا قمت مؤخرا بنشر Defender for Identity وتريد اختباره، فحدد خيار وضع الاختبار الموصى به لتبديل جميع حدود التنبيه إلى منخفض وزيادة عدد التنبيهات التي تم تشغيلها.

تكون مستويات الحد للقراءة فقط عند تحديد خيار وضع الاختبار الموصى به . عند الانتهاء من الاختبار، قم بتبديل خيار وضع الاختبار الموصى به مرة أخرى للعودة إلى الإعدادات السابقة.

حدد تطبيق التغييرات لحفظ التغييرات.

عمليات الكشف المدعومة لتكوينات الحد

يصف الجدول التالي أنواع الاكتشافات التي تدعم تعديلات مستويات العتبة، بما في ذلك تأثيرات الحدود المتوسطةوالمنخفضة .

تشير الخلايا التي تم وضع علامة عليها ب N/A إلى أن مستوى الحد غير معتمد للكشف

الكشف متوسط منخفض
الاستطلاع الأساسي للأمان (LDAP) عند التعيين إلى متوسط، يقوم هذا الكشف بتشغيل التنبيهات على الفور، دون انتظار فترة تعلم، كما يعطل أي تصفية للاستعلامات الشائعة في البيئة. عند التعيين إلى منخفض، يتم تطبيق جميع دعم الحد المتوسط ، بالإضافة إلى حد أقل للاستعلامات، وتعداد النطاق الفردي، والمزيد.
الإضافات المشبوهة للمجموعات الحساسة N/A عند التعيين إلى منخفض، يتجنب هذا الكشف النافذة المنزلقة ويتجاهل أي تعلم سابق. 
قراءة مفتاح AD FS DKM المشتبه به  N/A عند التعيين إلى منخفض، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم. 
هجوم مشتبه به للقوة الغاشمة (Kerberos، NTLM)  عند التعيين إلى متوسط، يتجاهل هذا الكشف أي تعلم تم إنجازه ولديه حد أقل لكلمات المرور الفاشلة.  عند التعيين إلى منخفض، يتجاهل هذا الكشف أي تعلم تم إنجازه ولديه أقل حد ممكن لكلمات المرور الفاشلة. 
هجوم DCSync المشتبه به (النسخ المتماثل لخدمات الدليل)  عند التعيين إلى متوسط، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم.  عند التعيين إلى منخفض، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم، ويتجنب تصفية IP مثل NAT أو VPN. 
يشتبه في استخدام البطاقة الذهبية (بيانات التخويل المزورة)  N/A عند التعيين إلى منخفض، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم. 
الاستخدام المشتبه به للتذكرة الذهبية (الرجوع إلى إصدار أقدم للتشفير)  N/A عند التعيين إلى منخفض، يؤدي هذا الكشف إلى تشغيل تنبيه استنادا إلى دقة ثقة أقل للجهاز. 
سرقة الهوية المشتبه بها (تمرير البطاقة)  N/A عند التعيين إلى منخفض، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم، ويتجنب تصفية IP مثل NAT أو VPN. 
استطلاع عضوية المستخدم والمجموعة (SAMR)  عند التعيين إلى متوسط، يتم تشغيل هذا الكشف على الفور، دون انتظار فترة تعلم.  عند التعيين إلى منخفض، يتم تشغيل هذا الكشف على الفور ويتضمن حد تنبيه أقل. 

لمزيد من المعلومات، راجع تنبيهات الأمان في Microsoft Defender for Identity.

الخطوة التالية

لمزيد من المعلومات، راجع التحقيق في تنبيهات أمان Defender for Identity في Microsoft Defender XDR.