Potlačení výstrah ze služby Microsoft Defenderu for Cloud

  • Článek

Tato stránka vysvětluje, jak můžete pomocí pravidel potlačení upozornění potlačit falešně pozitivní nebo jiné nežádoucí výstrahy zabezpečení z defenderu pro cloud.

Dostupnost

Aspekt Detaily
Stav vydání: Všeobecná dostupnost (GA)
Požadované role a oprávnění: Správce zabezpečení a vlastník můžou vytvářet nebo odstraňovat pravidla.
Čtenář zabezpečení a čtenář můžou zobrazit pravidla.
Mraky: Komerční cloudy
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)

Co jsou pravidla potlačení?

Plány Microsoft Defenderu detekují hrozby ve vašem prostředí a generují výstrahy zabezpečení. Pokud jedno upozornění není zajímavé nebo relevantní, můžete ho ručně zavřít. Pravidla potlačení umožňují automaticky zavřít podobná upozornění v budoucnu.

Stejně jako když identifikujete e-mail jako spam, chcete pravidelně kontrolovat potlačené výstrahy, abyste měli jistotu, že vám nechybí žádné skutečné hrozby.

Tady je několik příkladů použití pravidla potlačení:

  • Potlačení výstrah, které jste identifikovali jako falešně pozitivní
  • Potlačit upozornění, která se aktivují příliš často, aby byla užitečná

Vytvořte pravidlo potlačení upozornění.

Vytvoření pravidla potlačení

Pravidla potlačení můžete použít pro skupiny pro správu nebo pro předplatná.

  • Pokud chcete potlačit upozornění pro skupinu pro správu, použijte Azure Policy.
  • Pokud chcete potlačit upozornění pro předplatná, použijte Azure Portal nebo rozhraní REST API.

Typy upozornění, které se nikdy neaktivovaly u předplatného nebo skupiny pro správu před vytvořením pravidla, se nepotlačí.

Vytvoření pravidla pro konkrétní výstrahu na webu Azure Portal:

  1. Na stránce výstrah zabezpečení v Programu Defender for Cloud vyberte výstrahu, kterou chcete potlačit.

  2. V podokně podrobností vyberte Provést akci.

  3. V části Potlačit podobné výstrahy na kartě Akce vyberte Vytvořit pravidlo potlačení.

  4. V podokně Nové pravidlo potlačení zadejte podrobnosti o novém pravidle.

    • Entity – prostředky, na které se pravidlo vztahuje. Můžete zadat jeden prostředek, více prostředků nebo prostředků, které obsahují částečné ID prostředku. Pokud nezadáte žádné prostředky, pravidlo se vztahuje na všechny prostředky v předplatném.
    • Název – název pravidla. Názvy pravidel musí začínat písmenem nebo číslicí, mít 2 až 50 znaků a nesmí obsahovat žádné jiné symboly než spojovníky (-) a podtržítka (_).
    • Stav – Povoleno nebo zakázáno.
    • Důvod – Vyberte jeden z předdefinovaných důvodů nebo "jiný" a zadejte do komentáře svůj vlastní důvod.
    • Datum vypršení platnosti – koncové datum a čas pravidla. Pravidla se můžou spouštět bez časového limitu nastaveného v datu vypršení platnosti.

  5. Výběrem možnosti Simulovat zobrazíte počet dříve přijatých výstrah, které by byly zamítnuty, pokud pravidlo bylo aktivní.

  6. Uložte pravidlo.

Na stránce Výstrahy zabezpečení můžete také vybrat tlačítko Pravidla potlačení a výběrem možnosti Vytvořit pravidlo potlačení zadat podrobnosti o novém pravidlu.

Snímek obrazovky s tlačítkem Vytvořit pravidlo potlačení na stránce Pravidla potlačení

Poznámka:

U některých výstrah neplatí pravidla potlačení pro určité entity. Pokud pravidlo není k dispozici, zobrazí se na konci procesu vytvoření pravidla potlačení zpráva.

Úprava pravidla potlačení

Úprava pravidla, které jste vytvořili ze stránky pravidel potlačení:

  1. Na stránce výstrah zabezpečení v programu Defender for Cloud vyberte v horní části stránky pravidla potlačení.

    Snímek obrazovky znázorňující tlačítko pravidla potlačení na stránce Výstrahy zabezpečení

  2. Otevře se stránka pravidel potlačení se všemi pravidly pro vybraná předplatná.

    Snímek obrazovky se stránkou pravidla potlačení, kde můžete zkontrolovat pravidla potlačení a vytvořit nové.

  3. Pokud chcete upravit jedno pravidlo, otevřete tři tečky (...) na konci pravidla a vyberte Upravit.

  4. Změňte podrobnosti pravidla a vyberte Použít.

Pokud chcete pravidlo odstranit, použijte stejnou nabídku se třemi tečkami a vyberte Odebrat.

Vytváření a správa pravidel potlačení pomocí rozhraní API

Pravidla potlačení upozornění můžete vytvářet, zobrazovat nebo odstraňovat pomocí rozhraní REST API služby Defender for Cloud.

Relevantní metody HTTP pro pravidla potlačení v rozhraní REST API jsou:

  • PUT: Vytvoření nebo aktualizace pravidla potlačení v zadaném předplatném

  • GET:

    • Zobrazení seznamu všech pravidel nakonfigurovaných pro zadané předplatné Tato metoda vrátí pole použitelných pravidel.
    • Pokud chcete získat podrobnosti o konkrétním pravidlu pro zadané předplatné. Tato metoda vrátí jedno pravidlo potlačení.
    • Simulace dopadu pravidla potlačení stále ve fázi návrhu. Toto volání identifikuje, která z vašich existujících upozornění by byla zamítnuta, pokud by pravidlo bylo aktivní.

  • DELETE: Odstraní existující pravidlo (ale nezmění stav upozornění, která už byla zrušena).

Podrobnosti a příklady použití najdete v dokumentaci k rozhraní API.

Další krok

Tento článek popisuje pravidla potlačení v Programu Microsoft Defender pro cloud, která automaticky zavřela nežádoucí výstrahy.

Přečtěte si další informace o výstrahách zabezpečení generovaných defenderem pro cloud.