Supprimer les alertes de Microsoft Defender pour le cloud

  • Article

Cette page explique comment utiliser les règles de suppression d’alerte pour supprimer les faux positifs ou autres alertes de sécurité indésirables de Defender pour le cloud.

Disponibilité

Aspect Détails
État de sortie : Disponibilité générale
Rôles et autorisations obligatoires : L’Administrateur de la sécurité et le Propriétaire peuvent créer/supprimer des règles.
Le Lecteur de sécurité et le Lecteur peuvent consulter les règles.
Clouds : Clouds commerciaux
Nationaux (Azure Government, Microsoft Azure géré par 21Vianet)

Que sont les règles de suppression ?

Les plans Microsoft Defender détectent les menaces dans votre environnement et génèrent des alertes de sécurité. Quand une alerte n’est pas intéressante ni pertinente, il est possible de la masquer manuellement. Les règles de suppression vous permettent d’ignorer automatiquement des alertes similaires à l’avenir.

Tout comme lorsque vous identifiez un e-mail comme du courrier indésirable, vous devez examiner régulièrement les alertes supprimées pour vous assurer que vous ne ratez aucune menace réelle.

Voici quelques exemples d’utilisation d’une règle de suppression :

  • supprimer des alertes identifiées comme faux positifs ;
  • supprimer des alertes déclenchées trop souvent pour être utiles.

Créez une règle de suppression d’alerte.

Créer une règle de suppression

Vous pouvez appliquer des règles de suppression à des groupes d’administration ou à des abonnements.

  • Afin de supprimer des alertes pour un groupe d’administration, utilisez Azure Policy.
  • Afin de supprimer des alertes pour les abonnements, utilisez le portail Azure ou l’API REST.

Les types d’alerte qui n’ont jamais été déclenchés sur un abonnement ou un groupe d’administration avant la création de la règle ne seront pas supprimés.

Afin de créer une règle pour une alerte spécifique dans le portail Azure :

  1. Dans la page des alertes de sécurité de Defender pour le cloud, sélectionnez l’alerte que vous souhaitez supprimer.

  2. Dans le volet des détails, sélectionnez Effectuer une action.

  3. Dans la section Supprimer les alertes similaires de l’onglet Effectuer une action, sélectionnez Créer une règle de suppression.

  4. Dans le volet Nouvelle règle de suppression, entrez les détails de votre nouvelle règle.

    • Entités : ressources auxquelles la règle s’applique. Vous pouvez spécifier une seule ressource, plusieurs ressources ou des ressources qui contiennent un ID de ressource partiel. Si vous ne spécifiez aucune ressource, la règle s’applique à toutes les ressources de l’abonnement.
    • Nom : nom de la règle. Les noms de règles doivent commencer par une lettre ou un chiffre, comporter entre 2 et 50 caractères, et ne contenir aucun symbole autre que des tirets (-) ou des traits de soulignement (_).
    • État : activé ou désactivé.
    • Motif : sélectionnez l’un des motifs intégrés ou « autre » pour spécifier votre propre motif dans le commentaire.
    • Date d’expiration : date et heure de fin de la règle. Les règles peuvent s’exécuter sans limite de temps définie dans Date d’expiration.

  5. Vous sélectionnez Simuler pour afficher le nombre d’alertes précédemment reçues qui auraient été ignorées si la règle était active.

  6. Enregistrez la règle.

Vous pouvez également sélectionner le bouton Règles de suppression dans la page Alertes de sécurité, puis Créer une règle de suppression pour entrer les détails sur votre nouvelle règle.

Capture d’écran du bouton Créer une règle de suppression dans la page Règles de suppression.

Notes

Les règles de suppression ne s’appliquent pas à certaines entités pour certaines alertes. Si la règle n’est pas disponible, un message s’affiche à la fin du processus Créer une règle de suppression.

Modifier une règle de suppression

Pour modifier une règle que vous avez créée dans la page des règles de suppression :

  1. Dans la page des alertes de sécurité de Defender pour le cloud, sélectionnez Règles de suppression en haut.

    Capture d'écran présentant le bouton de la règle de suppression dans la page Alertes de sécurité.

  2. La page règles de suppression s’ouvre avec toutes les règles des abonnements sélectionnés.

    Capture d'écran présentant la page Règles de suppression, dans laquelle vous pouvez consulter les règles de suppression et en créer de nouvelles.

  3. Pour modifier une seule règle, ouvrez les points de suspension (...) à la fin de la règle, puis sélectionnez Modifier.

  4. Modifiez les détails de la règle et sélectionnez Appliquer.

Pour supprimer une règle, utilisez le même menu des points de suspension et sélectionnez Supprimer.

Créer et gérer des règles de suppression avec une API

Vous pouvez créer, afficher ou supprimer des règles de suppression d’alerte à l’aide de l’API REST de Defender pour le cloud.

Les méthodes HTTP de l’API REST adaptées aux règles de suppression sont les suivantes :

  • PUT : Pour créer ou mettre à jour une règle de suppression dans un abonnement spécifié.

  • GET :

    • Pour lister toutes les règles configurées pour un abonnement spécifié. Cette méthode retourne le tableau des règles applicables.
    • Pour obtenir les détails d’une règle spécifique sur un abonnement spécifié. Cette méthode retourne une règle de suppression.
    • Pour simuler l’impact d’une règle de suppression encore en phase de conception. Cet appel identifie les alertes existantes qui auraient été ignorées si la règle avait été active.

  • DELETE : Pour supprimer une règle existante (sans modifier l’état des alertes déjà ignorées par celle-ci).

Pour plus d’informations et des exemples d’utilisation, consultez la documentation de l’API.

Étape suivante

Cet article a décrit les règles de suppression dans Microsoft Defender pour le cloud, qui ignorent automatiquement les alertes indésirables.

En savoir plus sur les alertes de sécurité générées par Microsoft Defender pour le cloud.