Anpassen von Warnungsschwellenwerten
In diesem Artikel wird beschrieben, wie Sie die Anzahl falsch positiver Ergebnisse konfigurieren, indem Sie Schwellenwerte für bestimmte Microsoft Defender for Identity Warnungen anpassen.
Einige Defender for Identity-Warnungen basieren auf Lernphasen , um ein Musterprofil zu erstellen und dann zwischen legitimen und verdächtigen Aktivitäten zu unterscheiden. Jede Warnung hat auch bestimmte Bedingungen innerhalb der Erkennungslogik, um zwischen legitimen und verdächtigen Aktivitäten zu unterscheiden, z. B. Warnungsschwellenwerte und Filtern nach beliebten Aktivitäten.
Verwenden Sie die Seite Warnungsschwellenwerte anpassen , um die Schwellenwertstufe für bestimmte Warnungen anzupassen, um deren Warnungsvolumen zu beeinflussen. Wenn Sie beispielsweise umfassende Tests ausführen, können Sie die Schwellenwerte für Warnungen verringern, um so viele Warnungen wie möglich auszulösen.
Warnungen werden immer sofort ausgelöst, wenn die Option Empfohlener Testmodus ausgewählt ist oder wenn ein Schwellenwert auf Mittel oder Niedrig festgelegt ist, unabhängig davon, ob der Lernzeitraum der Warnung bereits abgeschlossen ist.
Hinweis
Die Seite Warnungsschwellenwerte anpassen hieß zuvor Erweiterte Einstellungen. Ausführliche Informationen zu diesem Übergang und dazu, wie alle vorherigen Einstellungen beibehalten wurden, finden Sie in unserer Ankündigung Neuigkeiten.
Voraussetzungen
Um die Seite Schwellenwerte für Warnungen anpassen in Microsoft Defender XDR anzuzeigen, benötigen Sie Mindestens als Sicherheits-Viewer Zugriff.
Um Änderungen auf der Seite Schwellenwerte für Warnungen anpassen vorzunehmen, benötigen Sie mindestens als Sicherheitsadministrator Zugriff.
Definieren von Warnungsschwellenwerten
Es wird empfohlen, die Warnungsschwellenwerte nur nach sorgfältiger Prüfung vom Standardwert (Hoch) zu ändern.
Wenn Sie z. B. über NAT oder VPN verfügen, empfehlen wir Ihnen, alle Änderungen an relevanten Erkennungen sorgfältig zu berücksichtigen, einschließlich vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten) und Erkennungen von mutmaßlichem Identitätsdiebstahl .
So definieren Sie Ihre Warnungsschwellenwerte:
Wechseln Sie Microsoft Defender XDR zu Einstellungen>Identitäten>Warnungsschwellenwerte anpassen.
Suchen Sie die Warnung, an der Sie den Warnungsschwellenwert anpassen möchten, und wählen Sie die Schwellenwertstufe aus, die Sie anwenden möchten.
- Hoch ist der Standardwert und wendet Standardschwellenwerte an, um falsch positive Ergebnisse zu reduzieren.
- Mittlere und niedrige Schwellenwerte erhöhen die Anzahl von Warnungen, die von Defender for Identity generiert werden.
Wenn Sie Mittel oder Niedrig auswählen, werden die Details in der Spalte Informationen fett formatiert, damit Sie verstehen können, wie sich die Änderung auf das Warnungsverhalten auswirkt.
Wählen Sie Änderungen übernehmen aus, um Die Änderungen zu speichern.
Wählen Sie Auf Standard zurücksetzen und dann Änderungen anwenden aus, um alle Warnungen auf den Standardschwellenwert (Hoch) zurückzusetzen. Die Wiederherstellung auf den Standardwert kann nicht rückgängig gemacht werden, und alle Änderungen an Ihren Schwellenwerten gehen verloren.
Wechseln in den Testmodus
Die Option Empfohlener Testmodus soll Ihnen helfen, alle Defender for Identity-Warnungen zu verstehen, einschließlich einiger im Zusammenhang mit legitimem Datenverkehr und Aktivitäten, damit Sie Defender for Identity so effizient wie möglich bewerten können.
Wenn Sie Defender for Identity kürzlich bereitgestellt haben und es testen möchten, wählen Sie die Option Empfohlener Testmodus aus, um alle Warnungsschwellenwerte auf Niedrig zu ändern und die Anzahl der ausgelösten Warnungen zu erhöhen.
Schwellenwerte sind schreibgeschützt, wenn die Option Empfohlener Testmodus ausgewählt ist. Wenn Sie mit dem Testen fertig sind, schalten Sie die Option Empfohlener Testmodus wieder ein, um zu Ihren vorherigen Einstellungen zurückzukehren.
Wählen Sie Änderungen übernehmen aus, um Die Änderungen zu speichern.
Unterstützte Erkennungen für Schwellenwertkonfigurationen
In der folgenden Tabelle werden die Arten von Erkennungen beschrieben, die Anpassungen für Schwellenwerte unterstützen, einschließlich der Auswirkungen von mittleren und niedrigen Schwellenwerten.
Zellen, die mit N/A gekennzeichnet sind, geben an, dass der Schwellenwert für die Erkennung nicht unterstützt wird.
| Erkennung | Medium | Niedrig |
|---|---|---|
| Reconnaissance für Sicherheitsprinzipale (LDAP) | Wenn diese Erkennung auf Mittel festgelegt ist, löst diese Erkennung sofort Warnungen aus, ohne auf einen Lernzeitraum zu warten, und deaktiviert auch die Filterung für beliebte Abfragen in der Umgebung. | Wenn diese Einstellung auf Niedrig festgelegt ist, gilt die gesamte Unterstützung für den Mittleren Schwellenwert sowie ein niedrigerer Schwellenwert für Abfragen, einzelne Bereichsenumeration und vieles mehr. |
| Verdächtige Ergänzungen zu sensiblen Gruppen | Nicht zutreffend | Wenn diese Erkennung auf Niedrig festgelegt ist, wird das gleitende Fenster vermieden und alle vorherigen Erkenntnisse ignoriert. |
| Vermuteter AD FS DKM-Schlüssellesevorgang | Nicht zutreffend | Bei Festlegung auf Niedrig wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten. |
| Verdacht auf Brute-Force-Angriff (Kerberos, NTLM) | Wenn diese Erkennung auf Mittel festgelegt ist, ignoriert diese Erkennung alle durchgeführten Lernvorgänge und weist einen niedrigeren Schwellenwert für fehlerhafte Kennwörter auf. | Wenn diese Erkennung auf Niedrig festgelegt ist, ignoriert diese Erkennung alle abgeschlossenen Lernvorgänge und weist den niedrigsten möglichen Schwellenwert für fehlerhafte Kennwörter auf. |
| Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten) | Bei Festlegung auf Mittel wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten. | Wenn diese Einstellung auf Niedrig festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten, und es wird ip-Filterung wie NAT oder VPN vermieden. |
| Verdacht auf Verwendung von Golden Ticket (gefälschte Autorisierungsdaten) | Nicht zutreffend | Bei Festlegung auf Niedrig wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten. |
| Vermutete Verwendung von Golden Ticket (Verschlüsselungsdowngrade) | Nicht zutreffend | Bei Festlegung auf Niedrig löst diese Erkennung eine Warnung basierend auf einer niedrigeren Zuverlässigkeitsauflösung eines Geräts aus. |
| Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket) | Nicht zutreffend | Wenn diese Einstellung auf Niedrig festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten, und es wird ip-Filterung wie NAT oder VPN vermieden. |
| Reconnaissance für Benutzer- und Gruppenmitgliedschaften (SAMR) | Bei Festlegung auf Mittel wird diese Erkennung sofort ausgelöst, ohne auf einen Lernzeitraum zu warten. | Bei Festlegung auf Niedrig wird diese Erkennung sofort ausgelöst und enthält einen niedrigeren Warnungsschwellenwert. |
Weitere Informationen finden Sie unter Sicherheitswarnungen in Microsoft Defender for Identity.
Nächster Schritt
Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR.