Megosztás a következőn keresztül:

Riasztási küszöbértékek módosítása

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhatja a téves riasztások számát az adott Microsoft Defender for Identity riasztások küszöbértékeinek módosításával.

Egyes Defender for Identity-riasztások tanulási időszakokra támaszkodnak a minták profiljának összeállításához, majd különbséget tesznek a jogos és a gyanús tevékenységek között. Az egyes riasztások meghatározott feltételekkel is rendelkezik az észlelési logikán belül, amelyek segítenek megkülönböztetni a megbízható és gyanús tevékenységeket, például a riasztási küszöbértékeket és a népszerű tevékenységek szűrését.

A Riasztási küszöbértékek módosítása lapon testre szabhatja az egyes riasztások küszöbértékét a riasztások mennyiségének befolyásolása érdekében. Ha például átfogó tesztelést futtat, érdemes lehet csökkenteni a riasztási küszöbértékeket, hogy a lehető legtöbb riasztást aktiválja.

A riasztások mindig azonnal aktiválódnak, ha az Ajánlott tesztelési mód lehetőség van kiválasztva, vagy ha a küszöbérték Közepes vagy Alacsony értékre van állítva, függetlenül attól, hogy a riasztás tanulási időszaka már befejeződött-e.

Megjegyzés:

A Riasztási küszöbértékek módosítása lap neve korábban Speciális beállítások volt. Az áttűnésről és a korábbi beállítások megőrzéséről további információt az Újdonságok közleményben talál.

Előfeltételek

A riasztási küszöbértékek módosítása lap Microsoft Defender XDR megtekintéséhez legalább Biztonsági megjelenítőként kell hozzáférnie.

A Riasztási küszöbértékek módosítása lapon végzett módosításokhoz legalább biztonsági rendszergazdaként kell hozzáférnie.

Riasztási küszöbértékek meghatározása

Javasoljuk, hogy a riasztási küszöbértékeket csak alapos megfontolás után módosítsa az alapértelmezettről (Magas) értékről.

Ha például NAT-et vagy VPN-t használ, javasoljuk, hogy alaposan gondolja át a releváns észlelések változásait, beleértve a dcSync-támadást (a címtárszolgáltatások replikációját) és a gyanús identitáslopási észleléseket.

A riasztási küszöbértékek meghatározása:

  1. A Microsoft Defender XDR lépjen a Beállítások>Identitások Riasztási>küszöbértékek módosítása területre.

    Képernyőkép az új Riasztási küszöbértékek módosítása oldalról.

  2. Keresse meg azt a riasztást, ahol módosítani szeretné a riasztás küszöbértékét, és válassza ki az alkalmazni kívánt küszöbértéket.

    • A Magas az alapértelmezett érték, és szabványos küszöbértékeket alkalmaz a téves pozitív értékek csökkentésére.
    • A közepes és alacsony küszöbértékek növelik a Defender for Identity által létrehozott riasztások számát.

    Ha a Közepes vagy az Alacsony lehetőséget választja, a részletek félkövérré jelennek meg az Információ oszlopban, így könnyebben megértheti, hogy a változás hogyan befolyásolja a riasztás viselkedését.

  3. A módosítások mentéséhez válassza a Módosítások alkalmazása lehetőséget.

Válassza a Visszaállítás alapértelmezettre lehetőséget, majd a Módosítások alkalmazása lehetőséget az összes riasztás alapértelmezett küszöbértékre (magas) való visszaállításához. Az alapértelmezettre való visszaállítás visszafordíthatatlan, és a küszöbértékek módosításai elvesznek.

Váltás tesztelési módra

Az Ajánlott tesztelési mód beállítás célja, hogy segítsen megérteni a Defender for Identity összes riasztását, beleértve a jogszerű forgalommal és tevékenységekkel kapcsolatos néhányat is, hogy a lehető leghatékonyabban értékelhesse ki a Defender for Identityt.

Ha nemrég telepítette a Defender for Identityt, és tesztelni szeretné, válassza az Ajánlott tesztelési mód lehetőséget, hogy az összes riasztási küszöbértéket Alacsony értékre állítsa, és növelje az aktivált riasztások számát.

A küszöbértékek csak olvashatók, ha az Ajánlott tesztelési mód lehetőség van kiválasztva. Ha végzett a teszteléssel, állítsa vissza az Ajánlott tesztelési mód beállítást, hogy visszatérjen a korábbi beállításokhoz.

A módosítások mentéséhez válassza a Módosítások alkalmazása lehetőséget.

Küszöbérték-konfigurációk támogatott észlelései

Az alábbi táblázat azokat az észleléstípusokat ismerteti, amelyek támogatják a küszöbértékek módosítását, beleértve a közepes és az alacsony küszöbértékek hatásait is.

A HIÁNYZIK jelzéssel megjelölt cellák azt jelzik, hogy a küszöbérték nem támogatott az észleléshez

Detektálás Közepes Alacsony
Rendszerbiztonsági tag felderítése (LDAP) Közepes értékre állítva ez az észlelés azonnal aktiválja a riasztásokat anélkül, hogy egy tanulási időszakra várnál, és letiltja a környezet népszerű lekérdezéseinek szűrését is. Ha Alacsony értékre van állítva, a közepes küszöbérték minden támogatása érvényesül, valamint egy alacsonyabb küszöbértéket a lekérdezésekhez, az egyetlen hatókörű enumeráláshoz és egyebekhez.
Gyanús hozzáadások bizalmas csoportokhoz Alacsony értékre állítva ez az észlelés elkerüli a csúszóablakot, és figyelmen kívül hagyja a korábbi tanulásokat. 
Gyanús AD FS DKM-kulcs olvasása  – Alacsony értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy tanulási időre vár. 
Feltételezett találgatásos támadás (Kerberos, NTLM)  Közepes értékre állítva ez az észlelés figyelmen kívül hagyja az elvégzett tanulást, és alacsonyabb küszöbértéket biztosít a sikertelen jelszavakhoz.  Alacsony értékre állítva ez az észlelés figyelmen kívül hagyja az elvégzett tanulást, és a lehető legalacsonyabb küszöbértéket adja meg a sikertelen jelszavakhoz. 
DCSync-támadás gyanúja (címtárszolgáltatások replikálása)  Közepes értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy tanulási időre vár.  Alacsony értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy egy tanulási időszakra várnál, és elkerüli az IP-szűrést, például a NAT-ot vagy a VPN-t. 
Gyanús aranyjegy-használat (hamisított engedélyezési adatok)  Alacsony értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy tanulási időre vár. 
Golden Ticket-használat gyanúja (titkosítás visszalépése)  Alacsony értékre állítva ez az észlelés riasztást aktivál egy eszköz alacsonyabb megbízhatósági felbontása alapján. 
Személyazonosság-lopás gyanúja (pass-the-ticket)  Alacsony értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy egy tanulási időszakra várnál, és elkerüli az IP-szűrést, például a NAT-ot vagy a VPN-t. 
Felhasználó- és csoporttagság-felderítés (SAMR)  Közepes értékre állítva ez az észlelés azonnal aktiválódik, anélkül, hogy tanulási időre vár.  Alacsony értékre állítva ez az észlelés azonnal aktiválódik, és alacsonyabb riasztási küszöbértéket tartalmaz. 

További információ: Biztonsági riasztások Microsoft Defender for Identity.

További lépés

További információ: A Defender for Identity biztonsági riasztásainak vizsgálata Microsoft Defender XDR.