Anpassen von Warnungsschwellenwerten

In diesem Artikel wird beschrieben, wie Sie die Anzahl falsch positiver Ergebnisse konfigurieren, indem Sie Schwellenwerte für bestimmte Microsoft Defender for Identity-Warnungen anpassen.

Einige Microsoft Defender for Identity-Warnungen basieren auf Lernphasen, um ein Profil von Mustern zu erstellen und dann zwischen legitimen und verdächtigen Aktivitäten zu unterscheiden. Jede Warnung hat auch bestimmte Bedingungen innerhalb der Erkennungslogik, um zwischen legitimen und verdächtigen Aktivitäten zu unterscheiden, z. B. Warnungsschwellenwerte und Filtern nach beliebten Aktivitäten.

Passen Sie auf der Seite Benachrichtigungsschwellenwerte anpassen die Schwellenwerte für bestimmte Warnungen an, um die Anzahl der Warnungsvolumen zu regulieren. Wenn Sie beispielsweise umfassende Tests ausführen, sollten Sie die Warnungsschwellenwerte verringern, um so viele Warnungen wie möglich auszulösen.

Warnungen werden immer sofort ausgelöst, wenn die Option Empfohlener Testmodus ausgewählt ist oder eine Schwellenwertstufe auf Mittel oder Niedrig festgelegt ist, unabhängig davon, ob der Lernzeitraum der Warnung bereits abgeschlossen wurde.

Hinweis

Die Seite Benachrichtigungsschwellenwerte anpassen wurde zuvor als Erweiterte Einstellungen bezeichnet. Ausführliche Informationen zu diesem Übergang und dazu, wie alle vorherigen Einstellungen beibehalten wurden, finden Sie in unserer Ankündigung der Neuerungen.

Voraussetzungen

Um die Seite Benachrichtigungsschwellenwerte anpassen in Microsoft Defender XDR anzuzeigen, benötigen Sie mindestens einen Zugriff der Stufe Sicherheitsanzeige.

Um Änderungen auf der Seite Benachrichtigungsschwellenwerte anpassen vorzunehmen, benötigen Sie mindestens Zugriff als Sicherheitsadministrator.

Definieren von Warnungsschwellenwerten

Es wird empfohlen, Warnungsschwellenwerte nur nach sorgfältiger Überlegung von der Standardeinstellung (Hoch) zu ändern.

Wenn Sie beispielsweise über NAT oder VPN verfügen, empfehlen wir Ihnen, alle Änderungen an relevanten Erkennungen sorgfältig zu prüfen, einschließlich Mutmaßlicher DCSync-Angriff (Replikation von Verzeichnisdiensten) und Mutmaßlicher Identitätsdiebstahl.

So definieren Sie Ihre Warnungsschwellenwerte:

  1. Wechseln Sie in Microsoft Defender XDR zu Einstellungen>Identitäten>Warnungsschwellenwerte anpassen.

    Screenshot der neuen Seite Alarmschwellen anpassen.

  2. Suchen Sie die Warnung, deren Schwellenwert Sie anpassen möchten, und wählen Sie die Schwellenwertgrenze aus.

    • Hoch ist der Standardwert, um falsch positive Ergebnisse zu reduzieren.
    • Mittlere und Niedrige Schwellenwerte erhöhen die Anzahl der von Defender for Identity generierten Warnungen.

    Wenn Sie Mittel oder Niedrig auswählen, werden die Details in der Spalte Informationen fett formatiert, sodass Sie verstehen können, wie sich die Änderung auf das Warnungsverhalten auswirkt.

  3. Wählen Sie Änderungen übernehmen aus, um die Änderungen zu speichern.

Wählen Sie Auf Standard zurücksetzen aus und dann Änderungen übernehmen aus, um alle Warnungen auf den Standardschwellenwert (Hoch) zurückzusetzen. Das Zurücksetzen auf den Standardwert ist unumkehrbar, und alle Änderungen, die an Ihren Schwellenwerten vorgenommen wurden, gehen verloren.

Zum Testmodus wechseln

Die Option Empfohlener Testmodus soll Ihnen helfen, alle Defender for Identity-Warnungen zu verstehen, einschließlich einiger im Zusammenhang mit legitimen Datenverkehr und Aktivitäten, damit Sie Defender for Identity so effizient wie möglich nutzen können.

Wenn Sie Defender for Identity kürzlich bereitgestellt haben und testen möchten, wählen Sie die Option Empfohlener Testmodus aus, um alle Warnungsschwellenwerte auf Niedrig zu setzen und die Anzahl der ausgelösten Warnungen zu erhöhen.

Schwellenwerte sind schreibgeschützt, wenn die Option Empfohlener Testmodus ausgewählt ist. Wenn Sie mit dem Testen fertig sind, schalten Sie die Option Empfohlener Testmodus wieder aus, um zu den vorherigen Einstellungen zurückzukehren.

Wählen Sie Änderungen übernehmen aus, um die Änderungen zu speichern.

Unterstützte Erkennungen für Schwellenwertkonfigurationen

In der folgenden Tabelle werden die Arten von Erkennungen beschrieben, die Anpassungen für Schwellenwerte unterstützen, einschließlich der Auswirkungen mittlerer und niedriger Schwellenwerte.

Zellen, die mit N/A gekennzeichnet sind, geben an, dass die Schwellenwertstufe für die Erkennung nicht unterstützt wird.

Erkennung Medium Niedrig
Sicherheitsprinzipalreconnaissance (LDAP) Wenn diese Erkennung auf Mittel festgelegt ist, löst sie sofort Warnungen aus, ohne auf eine Lernphase zu warten, und deaktiviert auch jede Filterung für beliebte Abfragen in der Umgebung. Wenn auf Niedrig festgelegt, gilt die gesamte Unterstützung für den mittleren Schwellenwert sowie einen niedrigeren Schwellenwert für Abfragen, eine einzelne Bereichsenumeration und vieles mehr.
Verdächtige Ergänzungen zu vertraulichen Gruppen NICHT ZUTREFFEND Wenn diese Option auf Niedrig festgelegt ist, vermeidet die Erkennung das gleitende Fenster und ignoriert alle vorherigen Erkenntnisse. 
Verdächtige AD FS DKM-Taste lesen  NICHT ZUTREFFEND Wenn der Wert auf Niedrig festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten. 
Verdächtiger Brute Force-Angriff (Kerberos, NTLM)  Wenn auf Mittel festgelegt, werden alle Lernvorgänge ignoriert und der Schwellenwert für fehlgeschlagene Kennwörter ist niedrig.  Wenn diese Option auf Niedrig festgelegt ist, ignoriert die Erkennung jegliches Lernen und hat den niedrigstmöglichen Schwellenwert für fehlgeschlagene Kennwörter. 
Verdächtiger DCSync-Angriff (Replikation von Verzeichnisdiensten)  Wenn der Wert auf Mittel festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten.  Wenn auf Niedrig festgelegt, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten und ip-Filterung wie NAT oder VPN zu vermeiden. 
Verdächtige Golden Ticket-Nutzung (geschmiedete Autorisierungsdaten)  N/V Wenn der Wert auf Niedrig festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten. 
Verdächtige Golden Ticket-Nutzung (Verschlüsselungs-Downgrade)  N/V Wenn dieser Wert auf Niedrig festgelegt ist, löst die Erkennung eine Warnung aus, die auf der Auflösung eines Geräts mit niedrigerer Zuverlässigkeit basiert. 
Verdächtiger Identitätsdiebstahl (Pass-the-Ticket)  NICHT ZUTREFFEND Wenn auf Niedrig festgelegt, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten und ip-Filterung wie NAT oder VPN zu vermeiden. 
Benutzer- und Gruppenmitgliedschaftsaufklärung (SAMR)  Wenn der Wert auf Mittel festgelegt ist, wird diese Erkennung sofort ausgelöst, ohne auf eine Lernphase zu warten.  Wenn diese Erkennung auf Niedrig festgelegt ist, wird sie sofort ausgelöst und enthält einen niedrigeren Alarmschwellenwert. 

Weitere Informationen finden Sie unter Sicherheitswarnungen in Microsoft Defender for Identity.

Nächster Schritt

Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR.