Microsoft Defender for Cloud からのアラートを抑制する

  • [アーティクル]

このページでは、アラート抑制ルールを使用して、クラウドの Defender からの誤検知や望ましくないセキュリティアラートを抑制する方法について説明します。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
必要なロールとアクセス許可: セキュリティ管理者および所有者は、ルールを作成および削除できます。
セキュリティ閲覧者および閲覧者は、ルールを表示できます。
クラウド: 商用クラウド
National (Azure Government、21Vianet によって運営される Microsoft Azure)

抑制ルールとは

Microsoft Defender プランによって、環境で脅威が検出され、セキュリティ アラートが生成されます。 1 つのアラートが特に注意する必要がないか無関係である場合は、手動で無視することもできます。 抑制ルールを使用すると、今後は同様のアラートを自動的に無視できます。

電子メールをスパムとして識別した場合と同様に、抑制されたアラートを定期的に確認して、実際の脅威を見逃さないようにする必要があります。

抑制ルールの使用方法について、次に例を示します。

  • ユーザーが擬陽性と判断したアラートを抑制する
  • あまりにも頻繁にトリガーされるため有用ではないアラートを抑制する

Create alert suppression rule.

抑制ルールを作成する

抑制ルールは、管理グループまたはサブスクリプションに適用できます。

  • 管理グループ レベルのアラートを抑制するには、Azure Policy を使用します。
  • サブスクリプションのアラートを抑制するには、Azure portal または REST API を使用します。

ルールが作成される前に、サブスクリプションまたは管理グループでトリガーされなかったアラートの種類は抑制されません。

Azure portal で特定のアラートのルールを作成するには:

  1. Defender for Cloud のセキュリティ警告ページで、抑制するアラートを選択します。

  2. 詳細ウィンドウで、[アクションの実行] を選択します。

  3. [アクションの実行] タブの [類似のアラートを抑制] セクションで、[抑制ルールの作成] を選択します。

  4. [新しい抑制ルール] ペインで、作成した新しいルールの詳細を入力します。

    • エンティティ - ルールが適用されるリソース。 単一のリソース、複数のリソース、または部分的なリソース ID を含むリソースを指定できます。 リソースを指定しない場合、ルールはサブスクリプション内のすべてのリソースに適用されます。
    • 名前 - ルールの名前。 ルール名は、文字または数字で始まり、2 から 50 文字で指定する必要があります。ダッシュ (-) とアンダースコア (_) 以外の記号は使用できません。
    • 状態 - 有効または無効。
    • 理由 - 組み込みの理由の 1 つを選択するか、コメントで独自の理由を指定するには [その他] を選択します。
    • 有効期限 - そのルールの終了日時。 [有効期限] で設定されているすべての時間制限なしでルールを実行できます。

  5. [シミュレート] を選択すると、そのルールがアクティブだったなら、無視されていたであろう、以前に受信したアラートの数を確認します。

  6. ルールを保存します。

[セキュリティ アラート] ページで [抑制ルール] ボタンを選択し、[抑制ルールの作成] を選択して、新しいルールの詳細を入力することもできます。

Screenshot of the Create suppression rule button in the Suppression rules page.

Note

一部のアラートでは、抑制ルールは特定のエンティティには適用されません。 ルールが使用できない場合は、抑制ルールの作成プロセスの最後にメッセージが表示されます。

抑制ルールを編集する

[抑制ルール] ページから作成したルールを編集するには:

  1. [Defender for Cloud のセキュリティ警告] ページで、ページの上部にある [抑制ルール] を選択します。

    Screenshot that shows the suppression rule button in the Security Alerts page.

  2. [抑制ルール] ページが開き、選択したサブスクリプションのすべてのルールが表示されます。

    Screenshot that shows the Suppression rules page where you can review the suppression rules and create new ones.

  3. 1 つのルールを編集するには、ルールの末尾にある 3 つのドット (...) を開き、[編集] を選択します。

  4. ルールの詳細を変更し、[適用] を選択します。

ルールを削除するには、同じ 3 つのドット メニューを使用し、[削除] を選択します。

API を使用して抑制ルールの作成および管理を行う

Defender for Cloud REST API を使用して、アラート抑制ルールを作成、表示、または削除することができます。

抑制ルールに関連する REST API の HTTP メソッドは次のとおりです。

  • PUT: 指定されたサブスクリプションで抑制ルールを作成または更新する。

  • GET:

    • 指定されたサブスクリプションに対して構成されているすべてのルールを一覧表示する。 このメソッドは、該当するルールの配列を返します。
    • 指定されたサブスクリプションの特定のルールの詳細を取得する。 このメソッドは、1 つの抑制ルールを返します。
    • 設計フェーズのままで、抑制ルールの影響をシミュレートする。 この呼び出しは、そのルールがアクティブだったなら無視されていたはずの既存のアラートを識別します。

  • DELETE: 既存のルールを削除します (ただし、そのルールによって既に無視されているアラートの状態は変更されません)。

詳細と使用例については、API のドキュメントを参照してください。

次のステップ

この記事では、不要なアラートを自動的に消去する Microsoft Defender for Cloud の抑制規則について説明します。

Defender for Cloud によって生成されるセキュリティ警告の詳細について説明します。