Uyarı eşiklerini ayarlama
Bu makalede, belirli Kimlik için Microsoft Defender uyarıları için eşikleri ayarlayarak hatalı pozitif sonuçların nasıl yapılandırıldığı açıklanır.
Bazı Kimlik için Defender uyarıları, desen profili oluşturmak ve ardından meşru ve şüpheli etkinlikler arasında ayrım yapmak için öğrenme dönemlerini kullanır. Her uyarı, uyarı eşikleri ve popüler etkinlikler için filtreleme gibi meşru ve şüpheli etkinlikleri ayırt etmeye yardımcı olmak için algılama mantığı içinde belirli koşullara da sahiptir.
Uyarı birimlerini etkilemek üzere belirli uyarıların eşik düzeyini özelleştirmek için Uyarı eşiklerini ayarla sayfasını kullanın. Örneğin, kapsamlı test çalıştırıyorsanız, mümkün olduğunca çok uyarı tetiklemek için uyarı eşiklerini düşürmek isteyebilirsiniz.
Önerilen test modu seçeneği belirlenirse veya uyarının öğrenme döneminin zaten tamamlanıp tamamlanmadığına bakılmaksızın bir eşik düzeyi Orta veya Düşük olarak ayarlanırsa uyarılar her zaman hemen tetiklenir.
Not
Uyarı eşiklerini ayarla sayfası daha önce Gelişmiş ayarlar olarak adlandırılmıştı. Bu geçiş ve önceki ayarların nasıl korunup korunmadığını öğrenmek için Yenilikler duyurumuza bakın.
Önkoşullar
Microsoft Defender XDR uyarı eşiklerini ayarla sayfasını görüntülemek için en azından Güvenlik görüntüleyicisi olarak erişmeniz gerekir.
Uyarıları ayarla eşiklerini ayarla sayfasında değişiklik yapmak için en azından güvenlik yöneticisi olarak erişmeniz gerekir.
Uyarı eşiklerini tanımlama
Uyarı eşiklerini yalnızca dikkatli bir değerlendirmeden sonra varsayılandan (Yüksek) değiştirmenizi öneririz.
Örneğin, NAT veya VPN'niz varsa, Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltması) ve Şüpheli kimlik hırsızlığı algılamaları dahil olmak üzere ilgili algılamalarda yapılan değişiklikleri dikkatli bir şekilde değerlendirmenizi öneririz.
Uyarı eşiklerinizi tanımlamak için:
Microsoft Defender XDR AyarlarKimlikleri>Uyarı eşiklerini ayarla'ya> gidin.
Uyarı eşiğini ayarlamak istediğiniz uyarıyı bulun ve uygulamak istediğiniz eşik düzeyini seçin.
- Yüksek varsayılan değerdir ve hatalı pozitif sonuçları azaltmak için standart eşikler uygular.
- Orta ve Düşük eşikler, Kimlik için Defender tarafından oluşturulan uyarı sayısını artırır.
Orta veya Düşük'i seçtiğinizde, değişikliğin uyarı davranışını nasıl etkilediğini anlamanıza yardımcı olmak için Bilgiler sütununda ayrıntılar kalın yazı tipiyle gösterilir.
Değişiklikleri kaydetmek için Değişiklikleri uygula'yı seçin.
Varsayılana geri dön'e ve ardından Değişiklikleri uygula'yı seçerek tüm uyarıları varsayılan eşiğe (Yüksek) sıfırlayın. Varsayılana geri dönme geri alınamaz ve eşik düzeylerinizde yapılan tüm değişiklikler kaybolur.
Test moduna geçme
Önerilen test modu seçeneği, Kimlik için Defender'ı olabildiğince verimli bir şekilde değerlendirebilmeniz için meşru trafik ve etkinliklerle ilgili bazı bilgiler de dahil olmak üzere tüm Kimlik için Defender uyarılarını anlamanıza yardımcı olmak üzere tasarlanmıştır.
Yakın zamanda Kimlik için Defender'ı dağıttıysanız ve test etmek istiyorsanız, tüm uyarı eşiklerini Düşük olarak değiştirmek ve tetiklenen uyarı sayısını artırmak için Önerilen test modu seçeneğini belirleyin.
Önerilen test modu seçeneği belirlendiğinde eşik düzeyleri salt okunurdur. Testi bitirdiğinizde, önceki ayarlarınıza dönmek için Önerilen test modu seçeneğini kapatın.
Değişiklikleri kaydetmek için Değişiklikleri uygula'yı seçin.
Eşik yapılandırmaları için desteklenen algılamalar
Aşağıdaki tabloda, Orta ve Düşük eşiklerin etkileri de dahil olmak üzere eşik düzeyleri için ayarlamaları destekleyen algılama türleri açıklanmaktadır.
Yok ile işaretlenmiş hücreler, eşik düzeyinin algılama için desteklenmediğini gösterir
| Algılama | Orta | Alçak |
|---|---|---|
| Güvenlik sorumlusu keşfi (LDAP) | Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden uyarıları hemen tetikler ve ayrıca ortamdaki popüler sorgular için filtrelemeyi devre dışı bırakır. | Düşük olarak ayarlandığında, Orta eşik için tüm desteğin yanı sıra sorgular, tek kapsam numaralandırması ve daha fazlası için daha düşük bir eşik uygulanır. |
| Hassas gruplara şüpheli eklemeler | Yok | Düşük olarak ayarlandığında, bu algılama kayan pencereyi önler ve önceki tüm öğrenmeleri yoksayar. |
| Şüpheli AD FS DKM anahtarı okuma | Yok | Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir. |
| Şüpheli Deneme Yanılma saldırısı (Kerberos, NTLM) | Orta olarak ayarlandığında, bu algılama yapılan tüm öğrenmeleri yoksayar ve başarısız parolalar için daha düşük bir eşiğe sahiptir. | Düşük olarak ayarlandığında, bu algılama yapılan tüm öğrenmeleri yoksayar ve başarısız parolalar için mümkün olan en düşük eşiğe sahiptir. |
| Şüpheli DCSync saldırısı (dizin hizmetlerinin çoğaltılmışı) | Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir. | Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir ve NAT veya VPN gibi IP filtrelemesini önler. |
| Şüpheli Altın Bilet kullanımı (sahte yetkilendirme verileri) | Yok | Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir. |
| Altın Anahtar kullanımından şüphelenilenler (şifrelemeyi düşürme) | Yok | Düşük olarak ayarlandığında, bu algılama bir cihazın daha düşük güvenilirlik çözünürlüğüne göre bir uyarı tetikler. |
| Şüpheli kimlik hırsızlığı (pass-the-ticket) | Yok | Düşük olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir ve NAT veya VPN gibi IP filtrelemesini önler. |
| Kullanıcı ve Grup üyeliği keşfi (SAMR) | Orta olarak ayarlandığında, bu algılama bir öğrenme dönemi beklemeden hemen tetiklenir. | Düşük olarak ayarlandığında, bu algılama hemen tetikler ve daha düşük bir uyarı eşiği içerir. |
Daha fazla bilgi için bkz. Kimlik için Microsoft Defender'de güvenlik uyarıları.
Sonraki adım
Daha fazla bilgi için bkz. Microsoft Defender XDR'da Kimlik için Defender güvenlik uyarılarını araştırma.