Microsoft Defender for Cloud에서 경고 표시 안 함

  • 아티클

이 페이지에서는 중복된 경고 제거 규칙을 사용하여 클라우드용 Defender에서 가양성 또는 기타 원치 않는 보안 경고를 표시하지 않는 방법을 설명합니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
필요한 역할 및 권한: 보안 관리자소유자는 규칙을 만들거나 삭제할 수 있습니다.
보안 읽기 권한자읽기 권한자는 규칙을 볼 수 있습니다.
클라우드: 상용 클라우드
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)

중복된 경고 제거 규칙이란?

Microsoft Defender 플랜은 사용자 환경에서 위협을 감지하고 보안 경고를 생성합니다. 관심 없거나 관련 없는 경고를 직접 해제할 수 있습니다. 중복된 경고 제거 규칙을 사용하면 나중에 유사한 경고를 자동으로 해제할 수 있습니다.

이메일을 스팸으로 식별할 때와 마찬가지로 표시되지 않는 경고를 정기적으로 검토하여 실제 위협이 누락되지 않았는지 확인해야 합니다.

중복된 경고 제거 규칙을 사용하는 방법의 몇 가지 예는 다음과 같습니다.

  • 가양성으로 식별한 경고를 표시 안 함
  • 너무 자주 트리거되는 경고를 표시 안 함

경고 제거 규칙을 만듭니다.

제거 규칙 만들기

관리 그룹 또는 구독에 중복된 경고 제거 규칙을 적용할 수 있습니다.

  • 관리 그룹에 대한 경고를 표시하지 않으려면 Azure Policy를 사용합니다.
  • 구독에 대한 경고를 표시하지 않려면 Azure Portal 또는 REST API를 사용합니다.

규칙을 만들기 전에 구독 또는 관리 그룹에서 트리거되지 않은 경고 유형은 표시되지 않습니다.

Azure Portal에서 특정 경고에 대한 규칙을 만들려면 다음을 수행합니다.

  1. 클라우드용 Defender의 보안 경고 페이지에서 표시하지 않을 경고를 선택합니다.

  2. 세부 정보 창에서 작업 수행을 선택합니다.

  3. 작업 수행 탭의 유사한 경고 표시 안 함 섹션에서 중복된 경고 제거 규칙 만들기를 선택합니다.

  4. 새 제거 규칙 창에서 새 규칙의 세부 정보를 입력합니다.

    • 엔터티 - 규칙이 적용되는 리소스입니다. 단일 리소스, 여러 리소스 또는 부분 리소스 ID를 포함하는 리소스를 지정할 수 있습니다. 리소스를 지정하지 않으면 규칙이 구독의 모든 리소스에 적용됩니다.
    • 이름 - 규칙의 이름입니다. 규칙 이름은 문자 또는 숫자로 시작하고 2-50자 사이여야 하며 대시(-) 또는 밑줄(_) 이외의 기호를 포함하지 않아야 합니다.
    • 상태 - '사용' 또는 '사용 안 함'입니다.
    • 이유 - 기본 제공 이유 중 하나를 선택하거나 '기타'를 선택하여 주석에 고유한 이유를 지정합니다.
    • 만료 날짜 - 규칙의 종료 날짜 및 시간입니다. 규칙은 만료 날짜에 설정된 대로 시간 제한 없이 실행할 수 있습니다.

  5. 시뮬레이트를 선택하여 규칙이 활성화된 경우 해제되었을 수 있는 이전에 받은 경고 수를 확인합니다.

  6. 규칙을 저장합니다.

보안 경고 페이지에서 제거 규칙 단추를 선택하고 제거 규칙 만들기를 선택하여 새 규칙의 세부 정보를 입력할 수도 있습니다.

제거 규칙 페이지의 제거 규칙 만들기 단추 스크린샷.

참고 항목

일부 경고의 경우 특정 엔터티에는 제거 규칙이 적용되지 않습니다. 규칙을 사용할 수 없는 경우 제거 규칙 만들기 프로세스가 끝나면 메시지가 표시됩니다.

중복된 경고 제거 규칙 편집

중복된 경고 제거 규칙 페이지에서 사용자가 만든 규칙을 편집하려면 다음을 수행합니다.

  1. 클라우드용 Defender의 보안 경고 페이지에서 페이지 상단의 중복된 경고 제거 규칙을 선택합니다.

    보안 경고 페이지의 제거 규칙 단추를 보여 주는 스크린샷.

  2. 선택한 구독에 대한 모든 규칙을 포함하는 중복된 경고 제거 규칙 페이지가 열립니다.

    제거 규칙을 검토하고 새 규칙을 만들 수 있는 제거 규칙 페이지를 보여 주는 스크린샷.

  3. 단일 규칙을 편집하려면 규칙 끝에 있는 세 개의 점(...)을 열고 편집을 선택합니다.

  4. 규칙의 세부 정보를 변경하고 적용을 선택합니다.

규칙을 삭제하려면 동일한 세 개의 점 메뉴를 사용하고 제거를 선택합니다.

API를 사용하여 중복된 경고 제거 규칙 만들기 및 관리

클라우드용 Defender REST API를 사용하여 중복된 경고 제거 규칙을 만들거나 보거나 삭제할 수 있습니다.

REST API에서 중복된 경고 제거 규칙의 관련 HTTP 메서드는 다음과 같습니다.

  • PUT: 지정된 구독에서 중복된 경고 제거 규칙을 만들거나 업데이트합니다.

  • GET:

    • 지정된 구독에 대해 구성된 모든 규칙을 나열합니다. 이 메서드는 해당하는 규칙의 배열을 반환합니다.
    • 지정된 구독에 대한 특정 규칙의 세부 정보를 가져옵니다. 이 메서드는 중복된 경고 제거 규칙 하나를 반환합니다.
    • 설계 단계에서 중복된 경고 제거 규칙의 영향을 시뮬레이션합니다. 이 호출은 규칙이 활성화되면 해제되는 기존 경고를 식별합니다.

  • DELETE: 기존 규칙을 삭제하되 이 규칙에 의해 이미 해제된 경고의 상태는 변경하지 않습니다.

세부 정보 및 사용 예제는 API 설명서를 참조하세요.

다음 단계

이 문서에서는 원치 않는 경고를 자동으로 해제하는 클라우드용 Microsoft Defender의 중복된 경고 제거 규칙에 대해 설명했습니다.

클라우드용 Defender에서 생성된 보안 경고에 대해 자세히 알아봅니다.