Supresión de alertas de Microsoft Defender for Cloud

  • Artículo

En esta página se explica cómo usar reglas de eliminación de alertas para eliminar falsos positivos u otras alertas de seguridad no deseadas en Defender for Cloud.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Roles y permisos necesarios: Los roles de Administrador de seguridad y Propietario pueden crear o eliminar reglas.
Los roles de Lector de seguridad y Lector pueden ver las reglas.
Nubes: Nubes comerciales
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)

¿Qué son las reglas de supresión?

Los planes de Microsoft Defender detectan amenazas en el entorno y generan alertas de seguridad. Si una alerta no es interesante ni pertinente, puede descartarla manualmente. Las reglas de eliminación le permiten descartar automáticamente alertas similares en el futuro.

Al igual que cuando identifica un correo electrónico como correo no deseado, puede revisar periódicamente las alertas suprimidas para asegurarse de que no está saltándose ninguna amenaza real.

Algunos ejemplos de cómo usar una regla de eliminación son:

  • Suprimir las alertas identificadas como falsos positivos
  • Suprimir las alertas que se desencadenan con demasiada frecuencia para ser útiles

Cree una regla de eliminación de alertas.

Creación de una regla de eliminación

Puede aplicar reglas de eliminación a grupos de administración o a suscripciones.

  • Para suprimir alertas en el nivel de un grupo de administración, use Azure Policy.
  • Para suprimir las alertas de las suscripciones, use Azure Portal o la API REST.

Los tipos de alerta que nunca se desencadenaron en una suscripción o grupo de administración antes de que se creara la regla no se suprimirán.

Para crear una regla para una alerta específica en Azure Portal:

  1. En la página de alertas de seguridad de Defender for Cloud, seleccione la alerta que desea suprimir.

  2. En el panel de detalles, seleccione Realizar acción.

  3. En la sección Supresión de alertas similares de la pestaña Realizar acción, seleccione Crear regla de eliminación.

  4. En el panel Nueva regla de supresión, escriba los detalles de la nueva regla.

    • Entidades: los recursos a los que se aplica la regla. Puede especificar un único recurso, varios recursos o recursos que contengan un identificador de recurso parcial. Si no especifica ningún recurso, la regla se aplicará a todos los recursos de la suscripción.
    • Nombre: un nombre para la regla. Los nombres de las reglas deben comenzar por una letra o un número, tener entre 2 y 50 caracteres, y no contener símbolos, excepto guiones (-) o guiones bajos (_).
    • Estado: puede ser Habilitado o Deshabilitado.
    • Motivo: seleccione uno de los motivos que se incluye u "otros" para especificar su propio motivo en el comentario.
    • Fecha de expiración: una fecha y hora de finalización para la regla. Las reglas se pueden ejecutar sin ningún límite de tiempo establecido en Fecha de expiración.

  5. Seleccione Simular para ver el número de alertas recibidas anteriormente que se habrían descartado si la regla hubiera estado activa.

  6. Guarde la regla.

También puede seleccionar el botón Reglas de supresión en la página Alertas de seguridad y seleccionar Crear regla de eliminación para especificar los detalles de la nueva regla.

Captura de pantalla del botón Crear regla de eliminación en la página Reglas de supresión.

Nota

En el caso de algunas alertas, las reglas de supresión no son aplicables a determinadas entidades. Si la regla no está disponible, se mostrará un mensaje al final del proceso de Crear una regla de supresión .

Edición de reglas de eliminación

Para editar una regla que haya creado, en la página de reglas de eliminación:

  1. En la página de alertas de seguridad de Defender for Cloud, seleccione Reglas de supresión en la parte superior de la página.

    Captura de pantalla en la que se muestra el botón regla de supresión en la página Alertas de seguridad.

  2. Se abre la página de reglas de supresión con todas las reglas de las suscripciones seleccionadas.

    Captura de pantalla en la que se muestra la página Reglas de supresión, donde puede revisar las reglas de supresión y crear otras nuevas.

  3. Para editar una sola regla, abra los tres puntos (...) que aparecen al final de la regla y seleccione Editar.

  4. Cambie los detalles de la regla y seleccione Aplicar.

Para eliminar una regla, use el mismo menú de tres puntos y seleccione Eliminar.

Creación y administración de reglas de eliminación con la API

Puede crear, ver o eliminar reglas de eliminación de alertas mediante la API REST de Defender for Cloud.

Los métodos HTTP pertinentes para la eliminación de reglas en la API REST son:

  • PUT: para crear o actualizar una regla de eliminación en una suscripción especificada.

  • GET.

    • para enumerar todas las reglas configuradas para una suscripción especificada. Este método devuelve una matriz de las reglas aplicables.
    • Para obtener los detalles de una regla específica en una suscripción especificada. Este método devuelve una regla de eliminación.
    • Para simular el efecto de una regla de eliminación todavía en la fase de diseño. Esta llamada identifica qué alertas existentes se habrían descartado si la regla hubiera estado activa.

  • DELETE: elimina una regla existente (pero no cambia el estado de las alertas que ya ha descartado).

Para obtener más información y ejemplos de uso, consulte la documentación de la API.

Paso siguiente

En este artículo se describen las reglas de supresión de Microsoft Defender for Cloud que descartan automáticamente las alertas no deseadas.

Obtenga más información sobre las alertas de seguridad generadas por Defender for Cloud.