Supresión de alertas de Defender for Cloud

  • 7 minutos

Los planes de Defender for Cloud detectan amenazas en cualquier área del entorno y generan alertas de seguridad. Si una alerta no es interesante ni pertinente, puede descartarla manualmente. También puede usar la característica de reglas de eliminación para descartar de forma automática alertas similares en el futuro. Por lo general, se usaría una regla de eliminación para:

  • Suprimir las alertas identificadas como falsos positivos

  • Suprimir las alertas que se desencadenan con demasiada frecuencia para ser útiles

Las reglas de eliminación definen los criterios que se deben seguir para saber qué alertas se deben descartar automáticamente. Las reglas de eliminación solo pueden descartar las alertas que ya se hayan desencadenado en las suscripciones seleccionadas.

Creación de una regla de eliminación

Para crear una regla directamente en Azure Portal:

En la página de alertas de seguridad de Defender for Cloud:

  • Busque la alerta específica que ya no desee ver y, en el menú de puntos suspensivos (...) de la alerta, seleccione Crear regla de eliminación:

O BIEN

  • O bien seleccione el vínculo de reglas de eliminación en la parte superior de la página y, en la página de reglas de eliminación, seleccione Crear nueva regla de eliminación:

En el panel de la nueva regla de eliminación, escriba los detalles de la nueva regla.

  • La regla puede descartar la alerta en todos los recursos para que no reciba ninguna alerta como esta en el futuro.

  • La regla puede descartar la alerta según criterios específicos: cuando se refiere a una dirección IP, un nombre de proceso, una cuenta de usuario, un recurso de Azure o una ubicación específicos.

Screenshot of Defender for Cloud new alert suppression rule pane.

Escriba los detalles de la regla:

  • Nombre: un nombre para la regla. Los nombres de las reglas deben comenzar por una letra o un número, tener entre 2 y 50 caracteres, y no contener símbolos, excepto guiones (-) o guiones bajos (_).

  • Estado: puede ser Habilitado o Deshabilitado.

  • Motivo: seleccione uno de los motivos incluidos u Otro si ninguno de ellos se adapta a sus necesidades.

  • Fecha de expiración: una fecha y hora de finalización para la regla. Las reglas se pueden ejecutar hasta seis meses.

Si lo desea, pruebe la regla con el botón Simular para ver el número de alertas que se habrían descartado si esta regla hubiera estado activa.

Guarde la regla.

Visualización de alertas suprimidas

Todavía se generarán alertas que coincidan con las reglas de supresión habilitadas, pero su estado se establecerá en descartado. Puede ver el estado en Azure Portal o desde donde acceda a las alertas de seguridad de Defender for Cloud.

Use el filtro de Defender for Cloud para ver las alertas que las reglas han descartado.

  • En la página de alertas de seguridad de Defender for Cloud, abra las opciones de filtro y seleccione Descartado.