Unterdrücken von Warnungen aus Microsoft Defender für Cloud

  • Artikel

Auf dieser Seite wird erläutert, wie Sie mithilfe von Unterdrückungsregeln für Warnungen falsch positive oder andere unerwünschte Sicherheitswarnungen von Defender für Cloud unterdrücken können.

Verfügbarkeit

Aspekt Details
Status des Release: Allgemeine Verfügbarkeit (General Availability, GA)
Erforderliche Rollen und Berechtigungen: Sicherheitsadministrator und Besitzer können Regeln erstellen und löschen.
Sicherheitsleseberechtigter und Leser können Regeln anzeigen.
Clouds: Kommerzielle Clouds
National (Azure Government, Microsoft Azure betrieben von 21Vianet)

Was sind Warnungsunterdrückungsregeln?

Die Microsoft Defender-Pläne erkennen Bedrohungen in Ihrer Umgebung und generieren Sicherheitswarnungen. Wenn eine einzelne Warnung nicht interessant oder relevant ist, können Sie sie manuell verwerfen. Über Unterdrückungsregeln können Sie ähnliche Warnungen in Zukunft automatisch verwerfen.

So wie Sie eine E-Mail als Spam identifizieren, sollten Sie auch die unterdrückten Warnmeldungen regelmäßig überprüfen, um sicherzustellen, dass Sie keine echten Bedrohungen übersehen.

Nachfolgend finden Sie einige Beispiele für die Verwendung einer Unterdrückungsregel:

  • Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben
  • Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind

Erstellen einer Warnungsunterdrückungsregel

Erstellen einer Unterdrückungsregel

Sie können Unterdrückungsregeln auf Verwaltungsgruppen oder auf Abonnements anwenden.

  • Zum Unterdrücken von Warnungen für eine Verwaltungsgruppe verwenden Sie Azure Policy.
  • Zum Unterdrücken von Warnungen für Abonnements verwenden Sie das Azure-Portal oder die REST-API.

Warnungstypen, die vor Erstellung der Regel noch nie für ein Abonnement oder eine Verwaltungsgruppe ausgelöst wurden, werden nicht unterdrückt.

So erstellen Sie eine Regel für eine spezifische Warnung im Azure-Portal

  1. Wählen Sie auf der Defender for Cloud-Seite für Sicherheitswarnungen die Warnung aus, die Sie unterdrücken möchten.

  2. Wählen Sie im Detailbereich Aktion ausführen aus.

  3. Wählen Sie im Abschnitt Ähnliche Warnungen unterdrücken der Registerkarte „Aktion ausführen“ die Option Unterdrückungsregel erstellen aus.

  4. Geben Sie im Bereich Neue Unterdrückungsregel Details zu Ihrer neuen Regel ein.

    • Entitäten: Die Ressourcen, für die die Regel gilt. Sie können eine einzelne oder mehrere Ressourcen oder Ressourcen angeben, die eine partielle Ressourcen-ID enthalten. Wenn Sie keine Ressourcen angeben, wird die Regel auf alle Ressourcen im Abonnement angewendet.
    • Name: ein Name für die Regel. Regelnamen müssen mit einem Buchstaben oder einer Ziffer beginnen, müssen zwischen 2 und 50 Zeichen lang sein und dürfen keine anderen Symbole als Bindestriche (-) oder Unterstriche (_) enthalten.
    • Status: „Aktiviert“ oder „Deaktiviert“.
    • Grund: Wählen Sie einen der integrierten Gründe oder „Andere“ aus, einen benutzerdefinierten Grund im Kommentar anzugeben.
    • Ablaufdatum: ein Ablaufdatum und eine Ablaufzeit für die Regel. Regeln können ohne Zeitlimit, wie unter „Ablaufdatum“ festgelegt, ausgeführt werden.

  5. Wählen Sie Simulieren, um die Anzahl der bisher empfangenen Warnungen anzuzeigen, die bei aktivierter Regel verworfen worden wären.

  6. Speichern Sie die Regel.

Sie können auch die Schaltfläche Unterdrückungsregeln auf der Seite „Sicherheitswarnungen“ auswählen und auf Unterdrückungsregel erstellen klicken, um die Details zu Ihrer neuen Regel einzugeben.

Screenshot: Schaltfläche „Unterdrückungsregel erstellen“ auf der Seite „Unterdrückungsregeln“

Hinweis

Bei einigen Warnungen gelten Unterdrückungsregeln für bestimmte Entitäten nicht. Wenn die Regel nicht verfügbar ist, wird am Ende des Prozesses Erstellen einer Unterdrückungsregel eine Meldung angezeigt.

Bearbeiten einer Unterdrückungsregel

So bearbeiten Sie eine Regel, die Sie auf der Seite „Unterdrückungsregeln“ erstellt haben

  1. Wählen Sie oben auf der Defender for Cloud-Seite mit den Sicherheitswarnungen die Option Unterdrückungsregeln aus.

    Screenshot der Schaltfläche „Unterdrückungsregeln“ auf der Seite „Sicherheitswarnungen“.

  2. Die Seite der Unterdrückungsregeln wird mit allen Regeln für das ausgewählte Abonnement geöffnet.

    Screenshot der Seite „Unterdrückungsregeln“, auf der Sie die Unterdrückungsregeln überprüfen und neue erstellen können.

  3. Um eine einzelne Regel zu bearbeiten, klicken Sie auf die drei Punkte (...) am Ende der Regel und wählen Bearbeiten aus.

  4. Ändern Sie die Details der Regel, und wählen Sie Anwenden aus.

Verwenden Sie zum Löschen einer Regel ebenfalls das Menü mit den drei Punkten, und wählen Sie Entfernen aus.

Erstellen und Verwalten von Unterdrückungsregeln über die API

Mit der Defender for Cloud-REST-API können Sie Regeln zur Unterdrückung von Warnungen erstellen, anzeigen oder löschen.

Die relevanten HTTP-Methoden für Unterdrückungsregeln in der REST-API lauten wie folgt:

  • PUT: Erstellen oder Aktualisieren einer Unterdrückungsregel in einem angegebenen Abonnement

  • GET:

    • Auflisten aller Regeln, die für ein bestimmtes Abonnement konfiguriert sind. Diese Methode gibt ein Array der anwendbaren Regeln zurück.
    • Abrufen der Details einer spezifischen Regel für ein bestimmtes Abonnement. Diese Methode gibt eine Unterdrückungsregel zurück.
    • Simulieren der Auswirkung einer Unterdrückungsregel in der Entwurfsphase. Mit diesem Aufruf ermitteln Sie, welche der vorhandenen Warnungen verworfen werden, wenn die Regel aktiv ist.

  • DELETE: Löschen einer vorhandenen Regel (der Status der durch die Regel bereits verworfenen Warnungen wird jedoch nicht geändert).

Ausführliche Informationen und Verwendungsbeispiele finden Sie in der API-Dokumentation.

Nächster Schritt

In diesem Artikel wurden Unterdrückungsregeln in Microsoft Defender für Cloud beschrieben, mit denen unerwünschte Warnungen automatisch verworfen werden.

Erfahren Sie mehr über Sicherheitswarnungen, die von Defender für Cloud generiert werden.