A Microsoft Defender for Cloud riasztásainak mellőzése

  • Cikk

Ez a lap bemutatja, hogyan használható a riasztások letiltására vonatkozó szabályok a hamis pozitív vagy más nemkívánatos biztonsági riasztások letiltására Felhőhöz készült Defender.

Elérhetőség

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Szükséges szerepkörök és engedélyek: A biztonsági rendszergazda és a tulajdonos szabályokat hozhat létre/törölhet.
A biztonsági olvasó és az Olvasó megtekintheti a szabályokat.
Felhők: Kereskedelmi felhők
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)

Mik azok az elnyomási szabályok?

A Microsoft Defender-csomagok észlelik a környezet fenyegetéseit, és biztonsági riasztásokat hoznak létre. Ha egyetlen riasztás nem érdekes vagy releváns, manuálisan is elvetheti. A letiltási szabályok lehetővé teszik, hogy a jövőben automatikusan elutasítsa a hasonló riasztásokat.

Ugyanúgy, mint amikor levélszemétként azonosít egy e-mailt, érdemes rendszeresen áttekinteni az elfojtott riasztásokat, hogy biztosan ne hiányoznak-e valós fenyegetések.

Néhány példa a letiltási szabály használatára:

  • Téves pozitívként azonosított riasztások letiltása
  • A túl gyakran aktivált riasztások mellőzése a hasznosság érdekében

Riasztáselnyomási szabály létrehozása.

Mellőzési szabály létrehozása

Letiltási szabályokat alkalmazhat felügyeleti csoportokra vagy előfizetésekre.

  • Egy felügyeleti csoport riasztásainak letiltásához használja az Azure Policyt.
  • Az előfizetésekre vonatkozó riasztások letiltásához használja az Azure Portalt vagy a REST API-t.

A szabály létrehozása előtt soha nem aktivált riasztástípusok nem lesznek letiltva.

Egy adott riasztás szabályának létrehozása az Azure Portalon:

  1. Felhőhöz készült Defender biztonsági riasztások lapján válassza ki a letiltani kívánt riasztást.

  2. A részletek panelen válassza a Művelet végrehajtása lehetőséget.

  3. A Művelet végrehajtása lap Hasonló riasztások mellőzése szakaszában válassza az Elnyomási szabály létrehozása lehetőséget.

  4. Az Új letiltási szabály panelen adja meg az új szabály részleteit.

    • Entitások – Azok az erőforrások, amelyekre a szabály vonatkozik. Megadhat egyetlen erőforrást, több erőforrást vagy részleges erőforrás-azonosítót tartalmazó erőforrásokat. Ha nem ad meg erőforrásokat, a szabály az előfizetés összes erőforrására vonatkozik.
    • Név – A szabály neve. A szabály nevének betűvel vagy számmal kell kezdődnie, hossza 2 és 50 karakter között lehet, és kötőjeleken (-) vagy aláhúzásjeleken (_) kívül nem tartalmazhat más szimbólumot.
    • Állapot – Engedélyezve vagy letiltva.
    • Ok – Válasszon egyet a beépített okok közül, vagy az "egyéb" lehetőséget, ha meg szeretné adni a saját okát a megjegyzésben.
    • Lejárati dátum – A szabály záró dátuma és ideje. A szabályok a lejárati dátumban megadott időkorlát nélkül is futtathatók.

  5. A Szimulálás lehetőséget választva megtekintheti azoknak a korábban fogadott riasztásoknak a számát, amelyek akkor lettek volna elutasítva, ha a szabály aktív volt.

  6. Mentse a szabályt.

A Biztonsági riasztások lapon a Letiltási szabályok gombot is kiválaszthatja, majd a Letiltási szabály létrehozása lehetőséget választva megadhatja az új szabály részleteit.

Képernyőkép a Letiltási szabályok lap Letiltási szabály létrehozása gombjáról.

Feljegyzés

Egyes riasztások esetén a letiltási szabályok bizonyos entitásokra nem alkalmazhatók. Ha a szabály nem érhető el, a letiltási szabály létrehozása folyamat végén megjelenik egy üzenet.

Letiltási szabály szerkesztése

A letiltási szabályok oldaláról létrehozott szabály szerkesztése:

  1. A Felhőhöz készült Defender biztonsági riasztások lapján válassza a lap tetején található Letiltási szabályok lehetőséget.

    Képernyőkép a Biztonsági riasztások lap letiltási szabály gombjáról.

  2. Megnyílik a letiltási szabályok lapja a kijelölt előfizetések összes szabályával.

    Képernyőkép a Letiltási szabályok lapról, ahol áttekintheti a letiltási szabályokat, és újakat hozhat létre.

  3. Egyetlen szabály szerkesztéséhez nyissa meg a szabály végén található három elemet (...), és válassza a Szerkesztés lehetőséget.

  4. Módosítsa a szabály részleteit, és válassza az Alkalmaz lehetőséget.

Szabály törléséhez használja ugyanazt a három pont menüt, és válassza az Eltávolítás lehetőséget.

Letiltási szabályok létrehozása és kezelése az API-val

A Felhőhöz készült Defender REST API használatával riasztás-letiltási szabályokat hozhat létre, tekinthet meg vagy törölhet.

A REST API letiltási szabályainak megfelelő HTTP-metódusok a következők:

  • PUT: Letiltási szabály létrehozása vagy frissítése egy adott előfizetésben.

  • GET:

    • Egy adott előfizetéshez konfigurált összes szabály listázásához. Ez a metódus az alkalmazandó szabályok tömbét adja vissza.
    • Egy adott előfizetés adott szabályának részleteinek lekérése. Ez a metódus egy letiltási szabályt ad vissza.
    • Az elnyomási szabály hatásának szimulálása még a tervezési fázisban. Ez a hívás azonosítja, hogy a meglévő riasztások közül melyik lett volna elutasítva, ha a szabály aktív volt.

  • DELETE: Töröl egy meglévő szabályt (de nem módosítja az általa már elvetett riasztások állapotát).

További részletekért és használati példákért tekintse meg az API dokumentációját.

Következő lépés

Ez a cikk a nem kívánt riasztásokat automatikusan elutasító Felhőhöz készült Microsoft Defender letiltási szabályait ismertette.

További információ a Felhőhöz készült Defender által létrehozott biztonsági riasztásokról.