Regolare le soglie di avviso (anteprima)
Questo articolo descrive come configurare il numero di falsi positivi modificando le soglie per specifici avvisi di Microsoft Defender per identità.
Alcuni avvisi di Defender per identità si basano sui periodi di apprendimento per creare un profilo di modelli e quindi distinguere tra attività legittime e sospette. Ogni avviso ha anche condizioni specifiche all'interno della logica di rilevamento per distinguere tra attività legittime e sospette, ad esempio soglie di avviso e filtro per le attività più diffuse.
Usare la pagina Regola soglie di avviso per personalizzare il livello di soglia per avvisi specifici per influenzare il volume degli avvisi. Ad esempio, se si eseguono test completi, è possibile ridurre le soglie di avviso per attivare il maggior numero possibile di avvisi.
Gli avvisi vengono sempre attivati immediatamente se è selezionata l'opzione Modalità test consigliata o se un livello di soglia è impostato su Medio o Basso, indipendentemente dal fatto che il periodo di apprendimento dell'avviso sia già stato completato.
Nota
La pagina Regola soglie di avviso è stata precedentemente denominata Impostazioni avanzate. Per informazioni dettagliate su questa transizione e su come sono state mantenute le impostazioni precedenti, vedere l'annuncio Novità.
Prerequisiti
Per visualizzare la pagina Regola soglie avvisi in Microsoft Defender XDR, è necessario accedere almeno come visualizzatore di sicurezza.
Per apportare modifiche nella pagina Modifica soglie avvisi , è necessario accedere almeno come amministratore della sicurezza.
Definire le soglie di avviso
È consigliabile modificare le soglie di avviso dal valore predefinito (Alto) solo dopo un'attenta considerazione.
Ad esempio, se si dispone di NAT o VPN, è consigliabile prendere in considerazione eventuali modifiche ai rilevamenti pertinenti con attenzione, tra cui sospetto attacco DCSync (replica dei servizi directory) e Rilevamento sospetto di furti di identità.
Per definire le soglie di avviso:
In Microsoft Defender XDR passare a Impostazioni> Identities>Regola soglie di avviso.
Individuare l'avviso in cui si vuole modificare la soglia di avviso e selezionare il livello di soglia da applicare.
- High è il valore predefinito e applica soglie standard per ridurre i falsi positivi.
- Le soglie medie e basse aumentano il numero di avvisi generati da Defender per identità.
Quando si seleziona Media o Bassa, i dettagli sono in grassetto nella colonna Informazioni per comprendere in che modo la modifica influisce sul comportamento dell'avviso.
Selezionare Applica modifiche per salvare le modifiche.
Selezionare Ripristina impostazione predefinita e quindi Applica modifiche per reimpostare tutti gli avvisi sulla soglia predefinita (alto). Il ripristino predefinito è irreversibile ed eventuali modifiche apportate ai livelli di soglia andranno perse.
Passare alla modalità di test
L'opzione Modalità di test consigliata è progettata per aiutare a comprendere tutti gli avvisi di Defender per identità, inclusi alcuni relativi al traffico e alle attività legittimi, in modo da poter valutare accuratamente Defender per identità nel modo più efficiente possibile.
Se Defender per identità è stato distribuito di recente e si vuole testarlo, selezionare l'opzione Modalità di test consigliata per impostare tutte le soglie di avviso su Bassa e aumentare il numero di avvisi attivati.
I livelli di soglia sono di sola lettura quando è selezionata l'opzione Modalità test consigliata. Al termine del test, disattivare l'opzione Modalità test consigliata per tornare alle impostazioni precedenti.
Selezionare Applica modifiche per salvare le modifiche.
Rilevamenti supportati per le configurazioni di soglia
Nella tabella seguente vengono descritti i tipi di rilevamenti che supportano le regolazioni per i livelli di soglia, inclusi gli effetti delle soglie medie e basse .
Le celle contrassegnate con N/A indicano che il livello di soglia non è supportato per il rilevamento
| Rilevamento | Medio | Alto |
|---|---|---|
| Ricognizione dell'entità di sicurezza (LDAP) | Se impostato su Medium, questo rilevamento attiva immediatamente gli avvisi, senza attendere un periodo di apprendimento e disabilita anche qualsiasi filtro per le query più diffuse nell'ambiente. | Se impostato su Basso, viene applicato tutto il supporto per la soglia media , oltre a una soglia inferiore per le query, l'enumerazione con ambito singolo e altro ancora. |
| Aggiunte sospette a gruppi sensibili | N/D | Se impostato su Basso, questo rilevamento evita la finestra scorrevole e ignora eventuali apprendimento precedenti. |
| Sospetto lettura della chiave DKM di AD FS | N/D | Se impostato su Basso, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento. |
| Sospetto attacco di forza bruta (Kerberos, NTLM) | Se impostato su Medium, questo rilevamento ignora tutte le operazioni di apprendimento eseguite e ha una soglia inferiore per le password non riuscite. | Se impostato su Basso, questo rilevamento ignora tutte le operazioni di apprendimento eseguite e ha la soglia più bassa possibile per le password non riuscite. |
| Sospetto attacco DCSync (replica di servizi directory) | Se impostato su Medium, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento. | Se impostato su Basso, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento ed evita il filtro IP come NAT o VPN. |
| Sospetto utilizzo di Golden Ticket (dati di autorizzazione contraffatti) | N/D | Se impostato su Basso, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento. |
| Sospetto utilizzo di Golden Ticket (downgrade della crittografia) | N/D | Se impostato su Basso, questo rilevamento attiva un avviso in base a una risoluzione di confidenza inferiore di un dispositivo. |
| Sospetto furto di identità (pass-the-ticket) | N/D | Se impostato su Basso, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento ed evita il filtro IP come NAT o VPN. |
| Ricognizione dell'appartenenza a utenti e gruppi (SAMR) | Se impostato su Medium, questo rilevamento viene attivato immediatamente, senza attendere un periodo di apprendimento. | Se impostato su Basso, questo rilevamento viene attivato immediatamente e include una soglia di avviso inferiore. |
Per altre informazioni, vedere Avvisi di sicurezza in Microsoft Defender per identità.
Passaggio successivo
Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per