Waarschuwingsdrempels aanpassen (preview)
In dit artikel wordt beschreven hoe u het aantal fout-positieven configureert door drempelwaarden voor specifieke waarschuwingen van Microsoft Defender for Identity aan te passen.
Sommige Defender for Identity-waarschuwingen zijn afhankelijk van leerperioden om een profiel van patronen te bouwen en vervolgens onderscheid te maken tussen legitieme en verdachte activiteiten. Elke waarschuwing heeft ook specifieke voorwaarden binnen de detectielogica om onderscheid te maken tussen legitieme en verdachte activiteiten, zoals drempelwaarden voor waarschuwingen en filteren op populaire activiteiten.
Gebruik de pagina Waarschuwingsdrempels aanpassen om het drempelwaardeniveau voor specifieke waarschuwingen aan te passen om hun waarschuwingsvolume te beïnvloeden. Als u bijvoorbeeld uitgebreide tests uitvoert, kunt u de drempelwaarden voor waarschuwingen verlagen om zoveel mogelijk waarschuwingen te activeren.
Waarschuwingen worden altijd onmiddellijk geactiveerd als de optie Aanbevolen testmodus is geselecteerd of als een drempelwaarde is ingesteld op Gemiddeld of Laag, ongeacht of de leerperiode van de waarschuwing al is voltooid.
Notitie
De pagina Waarschuwingsdrempels aanpassen heeft eerder de naam Geavanceerde instellingen gekregen. Zie de aankondiging Wat is er nieuw voor meer informatie over deze overgang en hoe eerdere instellingen zijn bewaard.
Vereisten
Als u de pagina Drempelwaarden voor waarschuwingen aanpassen in Microsoft Defender XDR wilt weergeven, hebt u ten minste toegang nodig als beveiligingsviewer.
Als u wijzigingen wilt aanbrengen op de pagina Drempelwaarden voor waarschuwingen aanpassen, hebt u ten minste toegang nodig als beveiligingsbeheerder.
Waarschuwingsdrempels definiëren
We raden u aan om pas na zorgvuldige overweging de drempelwaarden voor waarschuwingen van de standaardwaarde (Hoog) te wijzigen.
Als u bijvoorbeeld NAT of VPN hebt, raden we u aan om eventuele wijzigingen in relevante detecties zorgvuldig te overwegen, waaronder verdachte DCSync-aanval (replicatie van adreslijstservices) en detecties van verdachte identiteitsdiefstal .
Ga als volgende te werk om uw waarschuwingsdrempels te definiëren:
Ga in Microsoft Defender XDR naar Instellingen> Identities>Adjust alert thresholds.
Zoek de waarschuwing waar u de waarschuwingsdrempel wilt aanpassen en selecteer het drempelwaardeniveau dat u wilt toepassen.
- Hoog is de standaardwaarde en past standaarddrempelwaarden toe om fout-positieven te verminderen.
- Met gemiddelde en lage drempelwaarden wordt het aantal waarschuwingen verhoogd dat door Defender for Identity wordt gegenereerd.
Wanneer u Gemiddeld of Laag selecteert, worden details vetgedrukt in de kolom Informatie om te begrijpen hoe de wijziging van invloed is op het waarschuwingsgedrag.
Selecteer Wijzigingen toepassen om wijzigingen op te slaan.
Selecteer Standaardinstelling herstellen en pas vervolgens wijzigingen toe om alle waarschuwingen opnieuw in te stellen op de standaarddrempelwaarde (hoog). Het herstellen van de standaardinstelling kan niet ongedaan worden gemaakt en eventuele wijzigingen in de drempelwaarden gaan verloren.
Overschakelen naar testmodus
De optie Aanbevolen testmodus is ontworpen om u te helpen alle Defender for Identity-waarschuwingen te begrijpen, waaronder enkele gerelateerd aan legitiem verkeer en activiteiten, zodat u Defender for Identity zo efficiënt mogelijk kunt evalueren.
Als u Defender for Identity onlangs hebt geïmplementeerd en deze wilt testen, selecteert u de optie Aanbevolen testmodus om alle drempelwaarden voor waarschuwingen te wijzigen in Laag en het aantal geactiveerde waarschuwingen te verhogen.
Drempelwaarden zijn alleen-lezen wanneer de optie Aanbevolen testmodus is geselecteerd. Wanneer u klaar bent met testen, schakelt u de optie Aanbevolen testmodus weer in om terug te keren naar uw vorige instellingen.
Selecteer Wijzigingen toepassen om wijzigingen op te slaan.
Ondersteunde detecties voor drempelwaardeconfiguraties
In de volgende tabel worden de typen detecties beschreven die aanpassingen voor drempelwaarden ondersteunen, met inbegrip van de effecten van gemiddelde en lage drempelwaarden.
Cellen die zijn gemarkeerd met N/B geven aan dat het drempelwaardeniveau niet wordt ondersteund voor de detectie
| Detection | Gemiddeld | Hoog |
|---|---|---|
| Verkenning van beveiligingsprincipaal (LDAP) | Wanneer deze optie is ingesteld op Gemiddeld, activeert deze detectie waarschuwingen onmiddellijk, zonder te wachten op een leerperiode en wordt ook het filteren van populaire query's in de omgeving uitgeschakeld. | Als deze waarde is ingesteld op Laag, is alle ondersteuning voor de gemiddelde drempelwaarde van toepassing, plus een lagere drempelwaarde voor query's, opsomming van één bereik en meer. |
| Verdachte toevoegingen aan gevoelige groepen | N/A | Als deze optie is ingesteld op Laag, voorkomt deze detectie het schuifvenster en negeert u eventuele eerdere lessen. |
| Verdachte DKM-sleutel van AD FS gelezen | N/A | Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode. |
| Verdachte Brute Force-aanval (Kerberos, NTLM) | Als deze optie is ingesteld op Gemiddeld, negeert deze detectie alle geleerde bewerkingen en heeft deze een lagere drempelwaarde voor mislukte wachtwoorden. | Als deze optie is ingesteld op Laag, negeert deze detectie alle geleerde bewerkingen en heeft deze de laagst mogelijke drempelwaarde voor mislukte wachtwoorden. |
| Verdachte DCSync-aanval (replicatie van adreslijstservices) | Wanneer deze optie is ingesteld op Gemiddeld, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode. | Wanneer deze instelling is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode en voorkomt u IP-filtering zoals NAT of VPN. |
| Verdacht Golden Ticket-gebruik (vervalste autorisatiegegevens) | N.v.t. | Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode. |
| Verdacht Golden Ticket-gebruik (versleutelings downgrade) | N.v.t. | Als deze optie is ingesteld op Laag, wordt met deze detectie een waarschuwing geactiveerd op basis van een lagere betrouwbaarheidsresolutie van een apparaat. |
| Vermoedelijke identiteitsdiefstal (pass-the-ticket) | N/A | Wanneer deze instelling is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode en voorkomt u IP-filtering zoals NAT of VPN. |
| Reconnaissance voor gebruikers- en groepslidmaatschappen (SAMR) | Wanneer deze optie is ingesteld op Gemiddeld, wordt deze detectie onmiddellijk geactiveerd zonder te wachten op een leerperiode. | Wanneer deze optie is ingesteld op Laag, wordt deze detectie onmiddellijk geactiveerd en wordt een lagere drempelwaarde voor waarschuwingen opgenomen. |
Zie Beveiligingswaarschuwingen in Microsoft Defender for Identity voor meer informatie.
Volgende stap
Zie Defender for Identity Security-waarschuwingen onderzoeken in Microsoft Defender XDR voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor