Настройка пороговых значений оповещений
В этой статье описывается, как настроить количество ложных срабатываний, изменив пороговые значения для определенных оповещений Microsoft Defender для удостоверений.
Некоторые оповещения Defender для удостоверений зависят от периодов обучения для создания профиля шаблонов, а затем отличаются от законных и подозрительных действий. Каждое оповещение также имеет определенные условия в логике обнаружения, помогающие различать допустимые и подозрительные действия, такие как пороговые значения оповещений и фильтрация для популярных действий.
Используйте страницу "Настройка пороговых значений оповещений", чтобы настроить пороговое значение для определенных оповещений, чтобы повлиять на их объем оповещений. Например, если выполняется комплексное тестирование, может потребоваться снизить пороговые значения оповещений, чтобы активировать максимальное количество оповещений.
Оповещения всегда активируются немедленно, если выбран параметр "Рекомендуемый режим тестирования" или если для порогового уровня задано значение "Средний " или "Низкий", независимо от того, завершился ли период обучения оповещения.
Примечание.
Страница "Настройка пороговых значений оповещений" была ранее названа расширенными параметрами. Дополнительные сведения об этом переходе и о сохранении предыдущих параметров см. в нашем объявлении "Новые возможности".
Необходимые компоненты
Чтобы просмотреть страницу "Настройка пороговых значений оповещений " в XDR в Microsoft Defender, вам нужен доступ по крайней мере в качестве средства просмотра безопасности.
Чтобы внести изменения на страницу "Настройка пороговых значений оповещений", вам потребуется по крайней мере доступ к администратору безопасности.
Определение пороговых значений оповещений
Мы рекомендуем изменить пороговые значения оповещений по умолчанию (высокий) только после тщательного рассмотрения.
Например, если у вас есть NAT или VPN, рекомендуется тщательно рассмотреть любые изменения в соответствующих обнаружениях, включая предполагаемую атаку DCSync (репликацию служб каталогов) и обнаружение кражи подозрительных удостоверений .
Чтобы определить пороговые значения оповещений, выполните приведенные ниже действия.
В XDR в Microsoft Defender перейдите в раздел "Параметры>удостоверений>", чтобы настроить пороговые значения оповещений.
Найдите оповещение, в котором необходимо настроить пороговое значение оповещения и выберите уровень порогового значения, который необходимо применить.
- Высокий — это значение по умолчанию и применяет стандартные пороговые значения для уменьшения ложных срабатываний.
- Средние и низкие пороговые значения увеличивают количество оповещений, создаваемых Defender для удостоверений.
При выборе средней или низкой детализации в столбце сведений смещаются, чтобы понять, как изменение влияет на поведение оповещения.
Нажмите кнопку "Применить изменения ", чтобы сохранить изменения.
Выберите "Вернуться к умолчанию", а затем примените изменения, чтобы сбросить все оповещения на пороговое значение по умолчанию (высокий). Восстановление по умолчанию необратимо, и все изменения, внесенные на пороговые уровни, теряются.
Переключение на тестовый режим
Рекомендуемый режим тестирования предназначен для понимания всех оповещений Defender для удостоверений, включая некоторые связанные с законным трафиком и действиями, чтобы вы могли тщательно оценить Defender для удостоверений как можно эффективнее.
Если вы недавно развернули Defender для удостоверений и хотите протестировать его, выберите параметр "Рекомендуемый режим тестирования", чтобы переключить все пороговые значения оповещений на низкий и увеличить количество триггеров оповещений.
Пороговые уровни доступны только для чтения, если выбран параметр "Рекомендуемый режим тестирования". После завершения тестирования переключите параметр "Рекомендуемый режим тестирования", чтобы вернуться к предыдущим параметрам.
Нажмите кнопку "Применить изменения ", чтобы сохранить изменения.
Поддерживаемые обнаружения для конфигураций пороговых значений
В следующей таблице описываются типы обнаружения, поддерживающие корректировки пороговых уровней, включая эффекты средних и низких пороговых значений.
Ячейки, помеченные n/A, указывают на то, что пороговый уровень не поддерживается для обнаружения
Detection | Терпимая | Низкая |
---|---|---|
Рекогносцировка субъекта безопасности (LDAP) | Если задано значение Medium, это обнаружение активирует оповещения немедленно, не ожидая периода обучения, а также отключает фильтрацию для популярных запросов в среде. | Если задано значение Low, применяется все поддержку среднего порога, а также более низкое пороговое значение для запросов, перечисления одной области и многое другое. |
Подозрительные дополнения к конфиденциальным группам | N/A | Если задано значение Low, это обнаружение избегает скользящего окна и игнорирует предыдущие учебные курсы. |
Предполагаемое чтение ключа DKM AD FS | N/A | Если задано значение Low, это обнаружение активируется немедленно, не ожидая периода обучения. |
Подозреваемая атака подбора (Kerberos, NTLM) | Если задано значение Medium, это обнаружение игнорирует любое обучение и имеет более низкое пороговое значение для неудачных паролей. | Если задано значение Low, это обнаружение игнорирует любое обучение и имеет наименьшее возможное пороговое значение для неудачных паролей. |
Предполагаемая атака DCSync (репликация служб каталогов) | Если задано значение Medium, это обнаружение активируется немедленно, не ожидая периода обучения. | Если задано значение Low, это обнаружение активируется немедленно, не ожидая периода обучения, и избегает фильтрации IP-адресов, таких как NAT или VPN. |
Предполагаемое использование Золотого билета (данные о авторизации за выделяемые) | Н/П | Если задано значение Low, это обнаружение активируется немедленно, не ожидая периода обучения. |
Предполагаемое использование Golden Ticket (понижение уровня шифрования) | Н/П | Если задано значение Low, это обнаружение активирует оповещение на основе снижения достоверности устройства. |
Предполагаемое кражу удостоверений (pass-the-ticket) | N/A | Если задано значение Low, это обнаружение активируется немедленно, не ожидая периода обучения, и избегает фильтрации IP-адресов, таких как NAT или VPN. |
Разведка членства пользователей и групп (SAMR) | Если задано значение Medium, это обнаружение активируется немедленно, не ожидая периода обучения. | Если задано значение Low, это обнаружение активируется немедленно и включает более низкий порог оповещений. |
Дополнительные сведения см. в разделе "Оповещения системы безопасности" в Microsoft Defender для удостоверений.
Следующий шаг
Дополнительные сведения см. в статье "Исследование оповещений defender для безопасности удостоверений" в XDR в Microsoft Defender.